GDPR'ye Uyumlu Gizlilik Politikası Oluştururken Dikkat Edilmesi Gereken Noktaları Açıklıyoruz
AB ülkeleri içindeki kullanıcıların kişisel bilgilerini işlerken, GDPR’a uyum sağlamak zorundasınız ve GDPR’a uygun bir gizlilik politikası oluşturmalısınız. Ancak, GDPR’ı detaylı bir şekilde anlamak zor olabilir ve bu nedenle, kendi sitenizin bu düzenlemeye ihtiyaç duyup duymadığını, eğer gerekliyse nasıl uyum sağlayacağınızı bilmeyen birçok kişi olabilir.
Bu yüzden, bu makalede GDPR’ın genel hatları ve GDPR uyumlu gizlilik politikası oluşturmanın önemli noktalarını açıklıyoruz. Ayrıca, Japon şirketlerin uyum durumlarını ve tanınmış şirketlerin örneklerini sunarak, sizin için bir referans oluşturmayı hedefliyoruz.
GDPR ve Gizlilik Politikası Hakkında
GDPR uyumlu bir gizlilik politikası nedir? Bu bölümde, GDPR’ın genel hatları ve GDPR gizlilik politikasının gereklilikleri hakkında bilgi verilecektir.
GDPR ve Gizlilik Politikası
GDPR, AB tarafından belirlenen ve kişisel verilerin korunması ile ilgili detaylı kuralları içeren bir düzenlemedir. GDPR, Avrupa Ekonomik Alanı (EEA: AB üye ülkeleri, İsviçre hariç EFTA üyesi olan İzlanda, Lihtenştayn ve Norveç) içinde uygulanır. Aşağıdaki durumlarda, Japon şirketler de GDPR kapsamına girebilir:
- AB içindeki veri sahiplerine ürün veya hizmet sunuyor olmak
- AB içinde veri sahiplerinin davranışlarını izliyor olmak
Veri sahibi, tanımlanmış veya tanımlanabilir bir gerçek kişiyi ifade eder ve kişisel verilerin ilgili olduğu kişiyi belirtir.
Yukarıdaki durumlara uyan şirketler, gizlilik politikalarını (gizlilik bildirimlerini) gözden geçirmeli ve gerektiğinde yeniden düzenlemelidir. Eğer GDPR ihlal edilirse, şirketler en fazla 20 milyon Euro veya küresel cirolarının %4’üne kadar ceza ödemek zorunda kalabilirler.
Referans: Japon Dış Ticaret Teşkilatı|’AB Genel Veri Koruma Tüzüğü (GDPR)'[ja]
AB ülkeleriyle iş yaparken güven içinde olabilmek için gizlilik politikanızı kontrol etmek şarttır.
GDPR Tarafından Belirlenen Kişisel Veri Toplama Anında ‘Bilgi Verme’
GDPR, kişisel veri toplandığında, yöneticinin veri sahibine belirli bilgileri sağlaması gerektiğini belirtir ve GDPR’ın 12. maddesinin 1. fıkrasında bilgi verme yöntemleri açıklanmıştır.
İçerik aşağıdaki gibidir:
- Sade, şeffaf, anlaşılır ve kolayca erişilebilir olmalıdır
- Açık ve basit bir dil kullanılmalıdır
- Çocuklara bilgi verilirken uygun önlemler alınmalıdır
- Yazılı olarak veya uygun durumlarda elektronik araçlarla, diğer yöntemlerle de sağlanmalıdır
- Veri sahibi talep ettiğinde, bilgiler sözlü olarak da verilebilmelidir
Ayrıca, GDPR’ın 12. maddesinin 5. fıkrasında, bilgi vermenin ücretsiz olması gerektiği belirtilmiştir. Şirketinizin gizlilik politikasının yukarıdaki içeriği karşıladığını kontrol edin ve gerekirse revize edin.
GDPR Uyumlu Gizlilik Politikası Güncellemesi İçin Dikkat Edilmesi Gereken Noktalar
GDPR, kişisel verilerin veri sahibinden alındığı durumlar için (GDPR Madde 13) ve veri sahibi dışındaki kaynaklardan kişisel veri toplandığında (GDPR Madde 14), veri sorumlusunun veri sahibine açıklaması gereken bir dizi maddeyi belirtir.
Veri sorumlusunun açıklaması gereken maddeler şunları içerir:
- Veri sorumlusunun kimliği, detaylı iletişim bilgileri
- Temas noktası varsa, bu kişinin kimliği, detaylı iletişim bilgileri
- Veri sahibinin erişim, düzeltme, silme, kısıtlama, veri taşınabilirliği ve itiraz hakları
- Kişisel verilerin işlenme amacı, hukuki dayanak
- Kişisel verilerin saklanma süresi veya bu süreyi belirleme kriterleri
- İlgili kişisel veri türleri
Bu açıklama maddeleri arasında, Japon gizlilik politikalarında bulunmayanlar da vardır, bu nedenle özellikle bu yeni maddeler üzerinde yoğunlaşarak güncellemeler yapılmalıdır. Japon Kişisel Bilgi Koruma Yasası’na dayalı gizlilik politikaları hakkında daha fazla bilgi için, lütfen bu makaleye göz atın.
İlgili makale: Japon Kişisel Bilgi Koruma Yasası’na Dayalı Gizlilik Politikası Oluştururken Dikkat Edilmesi Gereken Noktalar Nelerdir?[ja]
Burada, Japon Kişisel Bilgi Koruma Yasası’na dayalı gizlilik politikalarında bulunmayan noktaları merkeze alarak, güncelleme sırasında dikkat edilmesi gereken başlıca noktaları açıklıyoruz.
Veri İşlemenin Yasallığına İlişkin Dayanaklar
GDPR’de, Kişisel Verilerin Korunması Kanunu’nda olmayan “veri işlemenin yasallığının dayanakları”nın açıkça belirtilmesi zorunlu kılınmıştır. Kişisel verilerin işlenmesinin yasal hale gelmesinin dayanakları aşağıdaki altı madde ile belirlenmiştir (GDPR Madde 6).
- Veri sahibinin rızası
- Sözleşmenin ifası
- Hukuki yükümlülük
- Hayati menfaatler
- Kamu yararı
- Meşru menfaat
Bu altı madde içerisinden herhangi birinin uygulanabilir olması durumunda işlemin yasal olduğu kabul edilir, bu nedenle gizlilik politikanızda bu hususu açıkça belirtmek önemlidir. Bilgileri ilk kez topladığınız kişilere, yeni gizlilik politikanızda rıza alarak bu duruma uyum sağlayabilirsiniz.
Fakat, dikkat edilmesi gereken nokta, zaten rıza almış olan kullanıcılara yönelik yaklaşımdır. Gizlilik politikanızın revize edilmesinden önce rıza almış olan kişilere, yeniden rıza almanız gerekebilir.
Bu durumda, gizlilik politikanızda yasal dayanakların altı maddesinden birini belirtip, revizyona ilişkin rıza alacak şekilde bir yaklaşım benimsemek mümkündür.
Bilgi Toplama Öğeleri ve Kullanım Amaçları
Geleneksel gizlilik politikalarında, toplanan bilgiler ve kullanım amaçları, kullanım şartları gibi unsurlar aynı sayfada belirtilir ve genellikle toplu bir onay alınır. Ancak, GDPR (Genel Veri Koruma Tüzüğü) kapsamında, kullanıcıların neye onay verdiklerinin ve onayın kapsamının netleştirilmesi gerektiği belirtilmektedir.
Toplanan her bilgi için kullanım amacını belirtmek ve her biri için ayrı ayrı onay alacak bir gösterim şekli kullanmak daha uygun olacaktır.
Kullanım Amaçlarının Netleştirilmesi
GDPR’de, toplanan bilgilerin kullanım amacının açıkça belirtilmesi gerektiği ifade edilmektedir. Örneğin, kullanım amacı “hizmet kalitesini artırmak” gibi belirsiz ifadeler içeriyorsa, bu amaç çok muğlak olduğu için uygun olmayabilir.
Ayrıca, belirlenen amaçlarla uyumlu olmayan ek işlemler yapılamayacağı için, bu hususa dikkat ederek gizlilik politikanızı gözden geçirmeniz önemlidir.
Silme Hakkı ve Veri Taşınabilirliği Hakkı
Çoğu şirketin geleneksel gizlilik politikalarında erişim ve düzeltme haklarına dair ifadeler bulunmaktadır. Ancak, GDPR (Genel Veri Koruma Tüzüğü) kapsamında, “Silme Hakkı ve Veri Taşınabilirliği Hakkı” hakkında da bilgi verilmesi gerekmektedir.
Silme hakkı, kullanıcıların yöneticiden kişisel verilerini silmesini talep edebilme hakkını ifade eder. Veri taşınabilirliği hakkı ise, kişisel verilerin başka bir hizmete aktarılabilme hakkını tanımlar.
Örneğin, bir cep telefonu operatörü A’dan başka bir cep telefonu operatörü B’ye, abonenin verilerini ve kullanım geçmişini aktarma durumu söz konusu olabilir. GDPR’ye uyum sağlamak için, gizlilik politikanızda bu haklara dair bilgilendirmelerin yer alması şarttır.
Veri Saklama Süresinin Belirtilmesi
GDPR’de, geleneksel gizlilik politikalarında yer almayan ‘kişisel verilerin saklama süresi’ belirtilmesi gerekmektedir. Eğer süre belirlenemiyorsa, saklama süresinin neye göre belirleneceğinin kriterlerini açıklama yöntemiyle de uyum sağlanabilmektedir.
Japon Şirketlerinin GDPR Uyum Durumu
Japon Bilgi Ekonomisi ve Toplumunun Gelişimini Destekleme Vakfı ile ITR Corporation tarafından hazırlanan 「Japon Şirketlerinin IT Kullanım Eğilimleri Araştırması 2021」 Detaylı Sonuçları[ja] hakkında bilgi sunuyoruz.
Araştırma sonuçlarına göre, GDPR’ye uyum sağlayan şirket sayısı azdır ve uyum sürecinde (değerlendirme aşamasında) olan şirketler %26.1 ile en yüksek oranı oluşturmaktadır. 2021 yılında yapılan değerlendirmede, AB ile kişisel veri transferi yapmayan şirketlerin sayısının da fazla olduğu görülmektedir.
AB ile kişisel veri alışverişine ilişkin araştırma sonuçları şu şekildedir:
Yukarıdaki grafikte görüldüğü üzere, ‘Şu anda alışverişimiz yok ve gelecekte de olmayacak’ yanıtını veren şirketler %44.4 ile en yüksek oranı oluşturuyor. ‘GDPR yürürlüğe girdikten sonra, AB ve Japonya’da veri işleme işlemlerini ayrı ayrı yürütüyoruz’ diyen şirketler ise %12’dir.
‘Şu anda alışverişimiz yok, ancak gelecekte olacak’ diyenler %25.9, ‘Şu anda alışveriş yapıyoruz’ diyenler ise %17.6’dır. Bu durum, gelecekte AB ile iş yapacak şirket sayısının artabileceğini gösterse de, 2021 yılı araştırma verilerine göre bu oranın düşük olduğu anlaşılmaktadır.
Kaynak: JIPDEC/ITR「Japon Şirketlerinin IT Kullanım Eğilimleri Araştırması 2021」[ja]
Tanınmış Şirketlerin GDPR Uyum Süreçleri
GDPR uyumlu bir gizlilik politikası oluşturmak isteyip de ne tür içerikler barındırması gerektiğini bilemeyen birçok kişi vardır. Bu yazıda, şirketlerin GDPR uyum süreçlerine örnek olarak, Google ve Facebook’un GDPR’ye nasıl uyum sağladıklarını detaylı bir şekilde açıklıyoruz.
Google’ın GDPR Uyum Çalışmaları
Google, GDPR’ye uyum sağlamak amacıyla aşağıdaki adımları duyurdu:
- Kullanıcılar için şeffaflığın artırılması
- Kullanıcıların kontrolünün iyileştirilmesi
- Veri taşınabilirliğinin geliştirilmesi
- Veli onayı ve çocukların internet kullanımının iyileştirilmesi için araçların geliştirilmesi
- İş dünyası kullanıcıları ve ortaklara destek
- Gizlilik uyum programlarının güçlendirilmesi
Bu yazıda, detayları açıklıyoruz.
Referans: Google「Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)’ne Yönelik Google’ın Hazırlıkları Hakkında[ja]」
Kullanıcılara Yönelik Şeffaflığın Artırılması
Google’ın topladığı bilgiler ve bu bilgileri toplama nedenlerini daha anlaşılır kılmak ve bilgilere kolay erişim sağlamak amacıyla, gizlilik politikasını iyileştiriyor ve güncelliyoruz. Diğer eklenen içerikler şunlardır:
- Bilgilerin yönetimi, dışa aktarımı ve silinmesi hakkında detayların eklenmesi
- Metinlerin yanı sıra video ve grafiklerin eklenmesi
Ayrıca, gizlilik ayarları sayfasına kolayca erişilebilmesi için ayarları değiştiriyoruz.
Kullanıcı Yönetiminde İyileştirmeler
GDPR (Genel Veri Koruma Tüzüğü) ile uyumlu hale gelmek için kullanıcı yönetim yöntemlerimizi iyileştiriyoruz. Yapılan değişiklikler aşağıdaki gibidir:
- My Activity (Benim Aktivitem) üzerinden verilerin görüntülenmesi ve silinmesi mümkün
- Konu, tarih ve ürün bazında arama yapabilme özelliği eklendi
- Kişiselleştirilmiş gizlilik ayarlarınızı kontrol edebilme imkanı
- Görüntülenen reklamları yönetme ve gizleme seçeneği
- Google Dashboard (Google Kontrol Paneli) üzerinden verilerinizi anlama
Ayrıca, GDPR yürürlüğe girmeden önce de, kullanıcı bilgilerinin ve reklamların daha kolay yönetilebilmesi için değişiklikler yapılmıştır.
Veri Taşınabilirliğinin İyileştirilmesi
Google, Google Fotoğraflar, Drive, Takvim, Gmail gibi çeşitli hizmetlere sahiptir. Google’ın GDPR uyumunu sağlamak amacıyla veri taşınabilirliği konusunda gerçekleştirdiği çalışmalar aşağıdaki gibidir:
- Veri indirme işlemlerini destekleyen hizmetlerin ve yönetim öğelerinin genişletilmesi
- Düzenli veri indirme işlemlerini planlama özelliğinin eklenmesi
Veli Onayı ve Çocukların Uygun İnternet Kullanımı İçin Araç Geliştirmeleri
Google, veliler ve çocuklar için uygun internet kullanımını desteklemek amacıyla Family Link uygulamasını sunmaktadır. Family Link kullanılarak, veliler çocukları için hesap oluşturabilirler.
Uygulama, ‘kullanım süresi yönetimi’ ve ‘cihazın geçici olarak durdurulması’ gibi evdeki kuralları belirleme ve yönetme imkanı sağlamaktadır.
İş Kullanıcıları ve Ortaklar için Destek
GDPR (Genel Veri Koruma Tüzüğü) ile uyum sağlamak amacıyla, Google ortaklarının (reklam verenler ve site işletmecileri gibi) sitelerinde ve uygulamalarında kullanıcıların onayını istemeleriyle ilgili politikalarını güncelledik. Diğer güncellemeler şunları içermektedir:
- GDPR uyumunu destekleyen araçların sunulması
- Google reklam hizmetlerini kullanan şirketler için onay süreçlerinin sıkılaştırılması
- Veri işleme koşullarının güncellenmesi
- Veri taşınabilirliği ve veri ihlali bildirimleri gibi konularda detaylı bilgi sağlanması
Gizlilik Uyum Programının Güçlendirilmesi
GDPR’ye uyum sağlamak amacıyla, gizlilik uyum programımızı güçlendirme çalışmaları yürütmekteyiz. Çalışmalarımız aşağıdaki gibidir:
- Gizlilik programının iyileştirilmesi
- Ürün inceleme süreçlerinin güçlendirilmesi
Ayrıca, veri işleme süreçlerini daha kapsamlı bir şekilde dokümante etmekteyiz.
Facebook’un GDPR Uyum Çalışmaları
Facebook, GDPR’ye uyum sağlamak amacıyla aşağıdaki adımları duyurmuştur:
- Reklamlardan bilgi toplama konusunda onay
- Profil bilgilerinin seçimi
- Yüz tanıma teknolojisi konusunda onay (AB & Kanada)
- Güncellenmiş hizmet şartları ve veri kullanımı üzerine anlaşma
- Bilgilere erişim, silme ve indirme işlemlerini kolaylaştıran özelliklerin sunulması
- Genç kullanıcılara yönelik bilgilendirme
Burada, detayları açıklıyoruz.
Referans: Facebook “Genel Veri Koruma Tüzüğü (GDPR)’ne Uyum ve Yeni Gizlilik Koruma Önlemleri“
Reklamlardan Bilgi Toplama Konusunda Onay
Facebook ortakları, ‘Beğen’ butonuna tıklama ve Facebook’un sunduğu araçlardan elde edilen bilgileri reklam gösterimlerinde kullanmaktadır. Kullanıcılara reklamlar hakkında bilgi sağlanmakta ve ortaklardan gelen bilgilerin reklam gösterimi için kullanılıp kullanılamayacağı seçimi sunulmaktadır.
Profil Bilgilerinin Seçimi
Facebook profillerinde politik görüşler, din veya inançlar, ilişki durumları gibi bilgiler yer almakta ve yayınlanmaktadır. Kullanıcılar, bu bilgilerin ‘yayınlanmaya devam edilip edilmeyeceğini’ ve ‘reklamlarda kullanılıp kullanılamayacağını’ seçebilirler.
Profil bilgileri her zaman serbestçe seçilebilir ve kullanıcılar istedikleri zaman bu bilgileri kolayca silebilirler.
Yüz Tanıma Teknolojisi Konusunda Onay (AB & Kanada)
Facebook, AB üye ülkeleri ve Kanada’daki kullanıcılara yüz tanıma teknolojisini kullanıp kullanmama seçeneği sunmaktadır. Ayrıca, diğer kullanıcılar da bu teknolojiyi serbestçe seçebilirler.
Güncellenmiş Hizmet Şartları ve Veri Kullanımı Üzerine Anlaşma
Kullanıcıların hizmet mekanizması hakkındaki sorularına detaylı bilgi içeren ‘Hizmet Şartları’ ve ‘Veri Politikası’ ile ilgili anlaşmaların yapılması için bir bildirim sunulmaktadır.
Bilgilere Erişim, Silme ve İndirme İşlemlerini Kolaylaştıran Özelliklerin Sunulması
‘Kişisel Veri Yönetim Araçları’ kullanılarak, kişisel verilere erişim ve silme işlemleri gerçekleştirilebilir. Ayrıca, verilerin kolayca indirilip dışa aktarılması sağlanmaktadır.
Mobil cihazlarda aktivite log özelliği güncellenerek, kullanıcıların geçmişte hangi bilgileri paylaştıklarını kolayca görebilmeleri sağlanmıştır.
Genç Kullanıcılara Yönelik Bilgilendirme
Facebook, zaten genç kullanıcılar için belirli kısıtlamalar getirmiştir. Bunlar şunlardır:
- Reklam kategorilerinde kısıtlamalar
- Yüz tanıma kullanımının yasaklanması (18 yaş altı)
- Genç kullanıcıların paylaştığı bilgilere erişim ve arama üzerindeki kısıtlamalar
Ayrıca, varsayılan ayarlar bilgilerin ‘herkese açık’ olmamasını sağlayacak şekilde tasarlanmıştır.
Facebook, GDPR’ye uyum sağlamak için AB üye ülkelerindeki kullanıcılar için ayrıca düzenlemeler getirmiştir. Reklamların görüntülenmesi ve profil bilgilerinin (din, inanç, politik görüşler vb.) yayınlanması için ebeveyn izni gerekmektedir.
Diğer bölgelerde ise, kullanıcılar ortaklardan alınan verilerin reklam gösterimlerinde kullanılmasına ve profil bilgilerinin kişisel bilgiler içerip içermeyeceğine karar verebilirler.
Özet: GDPR, Japon Yasalarından Daha Geniş Kişisel Veri Kapsamına Sahip ve Uyumluluk Zorunlu
GDPR kapsamında, ‘elde edilen bilgilerin kullanım amacının netleştirilmesi’, ‘silme hakkı ve veri taşınabilirliği hakkının açıkça belirtilmesi’, ‘saklama süresinin açıkça belirtilmesi’ gibi çeşitli hükümler bulunmakta ve bu hükümler, geleneksel Japon yasalarına kıyasla kullanıcıların haklarını daha geniş bir yelpazede korumaktadır.
GDPR ihlali durumunda ödenmesi gereken yüksek miktarda cezai yaptırımlar bulunmakta ve AB içinde kişisel bilgileri işleyen şirketlerin GDPR’ye uyum sağlamaları gerekmektedir. AB içinde iş yapmakta olan veya gelecekte giriş yapmayı düşünen şirketler, GDPR’ye uygun bir gizlilik politikası oluşturmalıdır.
Hukuk Büromuz Tarafından Sunulan Önlemler
Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Son yıllarda, global iş dünyası giderek genişlemekte ve uzmanlar tarafından yapılan hukuki kontrollerin gerekliliği artmaktadır. Büromuz, uluslararası hukuk işlerine yönelik çözümler sunmaktadır.
Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Uluslararası Hukuk İşleri ve Yurtdışı İşlemler[ja]