GDPR Sözlüğü: Meşgul İnsanlar İçin Bir Arıza

GDPR'nin temel bir ilkesi: Veri politikalarınızı kullanıcılara "yasal" olmayan bir şekilde sunun.

O halde NEDEN OKUMANIZ İÇİN BİZE 200 SAYFALIK BEYİN ERİTEN JARGON VERDİLER?

Yeni Genel Veri Koruma Yönetmeliğinden geçmek çok önemlidir.

Ama ağır çekimde oynanan bir golf turnuvasını izlemek kadar eğlenceli.

İşte tüm bu yasal terimlerin ne anlama geldiğinin bir dökümü - yarısında uyuya kalmayacağınız cümlelerle yazılmış.

Baş ağrısından kurtulmak için CTRL+F yapmaktan çekinmeyin.

Tanımlar

Bağlayıcı Şirket Kuralları (BCR'ler) : AB'de kişisel verileriniz var mı? Çok uluslu kuruluşunuzdaki kişilere aktarmak istiyorsunuz. AB dışında mı? BCR'ler, uymanız gereken kurallarınızdır.

Biyometrik Veriler : “Vücut verileri.” Sizi tanımlayabiliyorsa ve fiziksel, fizyolojik veya davranışsal özelliklerle ilgisi varsa, işte budur.

ONAY : Bu büyük bir şey. BİRİSİNİN KİŞİSEL VERİLERİNİN KULLANILMASI İÇİN ONAY ALMAK ARTIK KARMAŞIKTIR.

Olması gereken:

• özgürce verilen
• özel
• olumlu
• açık

Yani… birine e-posta gönderecekseniz, e-posta gönderilmesi için onayını almanız gerekir. Çerez kullanacak mısınız? Bunun için de özel onaya ihtiyacınız var.

İnsanların rızasını bağımsız olarak istediniz. Gizlilik politikanızla aynı onay kutusuyla bir araya getiremezsiniz.

Ayrıca, "____ kabul ediyorum" kutusunu önceden işaretleyemezsiniz. Bunu kendileri yapmak zorundalar.

Eski moda “Bu site çerez kullanıyor, burada olmakla rahat ediyorsun” feragatnamesini yazıp uçmasını bekleyemezsiniz.

İnsanlar verilerini nasıl kullandığınızı anladılar. Bu şekilde kullanmanız için size onay vermeleri gerekiyor.

Bu çok fazla.

Burada bunun hakkında daha fazla yazdık.

Sağlıkla İlgili Veriler : Kulağa nasıl geliyor (şükürler olsun).

Veri Denetleyicisi : Bir pazarlamacıysanız, muhtemelen sizsiniz. Kişisel verileri herhangi bir şekilde isteyen, toplayan ve kullanan kişidir. İşlerseniz, saklarsanız, insanların verilerinin nasıl kullanılacağını belirlerseniz, bir veri denetleyicisi olursunuz. Tebrikler!

Veri Silme: AKA: “Unutulma Hakkı.” Bu, yalnızca bir veri sahibinin (insan kişi) üzerinde sahip olduğunuz tüm verilerin silinmesini seçebileceği anlamına gelir. Sözcüğü söylerler ve verilerini temizlemeniz, kullanmayı bırakmanız ve herhangi bir şekilde (brüt) yaymayı bırakmanız gerekir.

Veri Taşınabilirliği : Biri size gelip “Hey, benim hakkımda sahip olduğunuz tüm verilerin bir kopyasını istiyorum” derse, “tabii, işte burada” demeniz gerekir. Ve onlara bu verilerin bir kopyasını, başka birine kolayca iletebilecekleri bir biçimde iletmelisiniz. (Bununla ilgili daha fazla bilgi burada yaşıyor)

Veri İşlemcisi : Siz (veri denetleyicisi) verileri toplamak ve işlemek için ne kullanırsanız kullanın. Pazarlama araçlarınızın çoğu veri işlemcileridir (düşünme, analiz araçları, A/B test araçları, eklentiler ve benzerleri).

Veri Koruma Kurumu : Kurallara uymanızı sağlayacak olan korkutucu insanlar. Bunlar, verileri ve gizliliği korumaktan ve AB içinde GDPR'nin uygulanmasını izlemekten sorumlu ulusal makamlardır.

Veri Koruma Görevlisi : 250 kişiden daha büyük bir şirketseniz, tüm bu düzenleme çılgınlığının üstesinden gelmesi için atamanız gereken biri (ama dürüst olmak gerekirse, GDPR bu sayının ne olması gerektiğine gerçekten karar veremez). Bu, sizinle bağımsız olarak çalışacak ve sizi GDPR ile uyumlu tutacak bir veri gizliliği uzmanıdır.

Veri Konusu : İnsan—sahip olduğunuz, gördüğünüz veya kullandığınız verilere sahip olan.

Delegated Acts : Daha fazla netlik veya kriter sağlamak için mevcut yasaları tamamlayan eğlenceli “bonus yasalar”. İlerleyen bağımsız AB ülkelerinden bunlardan bir demet bekleyin.

İstisna : Kanunlara istisna!

Yönerge : Tüm AB ülkeleri için bir “hedef” belirleyen yasadır. Daha sonra her ülke bu amaca ulaşmak için kendi ulusal yasalarını yapar.

Şifrelenmiş Veriler : Az ya da çok: kişisel verileri her şeyi karıştırarak korursunuz. Veri şifreleme, yalnızca belirli erişime sahip kişilerin sakladığınız verilere erişmesini veya bunları okumasını sağlar. Güvenlik önlemleri söz konusu olduğunda, bu çok iyi bir fikir.

Girişim : "Yasal biçimi" ne olursa olsun, ekonomik bir faaliyetle uğraşan herhangi bir şey. Yani insanlar, kuruluşlar, dernekler adını siz koyun. Para kazanan veya parayla uğraşan herkes.

Dosyalama Sistemi : GDPR iki yerde geçerlidir: otomatik sistemlere (bilgisayarda ve veritabanlarında bilgi depolamak) veya basılı kopyalar için "ilgili dosyalama sistemlerinde". Bir dosyalama sistemi, aranabiliyorsa veya ad, kimlik numarası, telefon numarası gibi belirli kriterlere göre erişilebiliyorsa "ilgili"dir.)

Dolayısıyla, tüm İK verilerinizi işaretlenmemiş, organize edilmemiş kutulara atarsanız, muhtemelen GDPR için olanlar için endişelenmenize gerek kalmaz. Sadece onlar için endişelenmelisin, çünkü bilirsin, başka sebepler.

Genetik Veriler : AB resmi sitesi bunu tanımlıyor ama, hadi. Genetiğin ne olduğunu biliyorsun.

Teşebbüsler Grubu : Bir “teşebbüsün” ne olduğunu anlamak için elenecek çok sayıda içtihat vardır - ancak aşağı yukarı şuna iner: bir teşebbüs, bir şirketin başka bir şirket üzerinde kontrole sahip olmasıdır. Ve bu durumda kontrol, "belirleyici etki" uygulama yeteneği anlamına gelir.

Örnek: bir ana şirket, bir bağlı şirkette çoğunluk hissesine sahiptir. Kontrolü uygulayabilecekleri varsayılır. Bu bir girişim.

Ve bir grup teşebbüs, bunlardan bir gruptur.

Ana Kuruluş : Bu az çok denetimin uygulandığı yerle ilgilidir. Veri işlemeyi çevreleyen kararların birlik içinde alındığı yerdir. Anlamı—eğer verilerinizi Almanya'da işliyorsanız, başka bir yerde yaşıyor olsanız bile, “ana kuruluşunuz” Almanya'dadır.

KİŞİSEL VERİLER : BÜYÜK BİR DAHA. Kişisel veriler, bir kişiyle ilgili olan ve onları tanımlamak için kullanılabilen herhangi bir bilgidir. Bu, onları dolaylı olarak tanımlayabilen veya gelen diğer verilerle birleştirildiğinde tanımlayabilen verileri içerir.

Bu, PII'den (kişisel olarak tanımlanabilir bilgiler) farklıdır . Ve daha önce gördüğümüzden daha katı bir tanım.

İşte tam bir döküm:

Kişisel Veri İhlali : Büyük bir "ayy". Bu, birisinin yanlışlıkla veya yasa dışı olarak sakladığınız kişisel verilere erişebileceği, yok edebileceği veya kötüye kullanabileceği herhangi bir zamandır. GDPR kapsamında, tüm veri konularınıza 72 saat içinde bunlardan biri hakkında bilgi vermeniz gerekir.

Tasarıma Göre Gizlilik : Ertelemeyi bırakın. Bir arayüz, bir web sitesi, herhangi bir şey gibi verilerle ilgilenen bir sistem oluşturduğunuzda, başlamadan ÖNCE veri koruma hakkında düşünmelisiniz. Veri hakları göz önünde bulundurularak tasarlanmalıdır. Son dakika baskısı olmamalıdırlar.

Gizlilik Etki Değerlendirmesi : Sizin (Veri Koruma Görevlinizle birlikte) yapmanız gereken bir şey! Temel olarak, bu sadece potansiyel gizlilik riskleri için denetimdir. Bu, kişisel verilerinize, bunların nasıl işlendiğine ve bunları korumak için şu anda ne yaptığınıza bir göz atmak anlamına gelir.

İşleme : Kişisel verilerle yaptığınız HER ŞEY - manuel veya otomatik olarak. Toplama, kaydetme, kullanma. Kişisel veriler, ekranınızda yanıp söner ve işlenir.

Profil oluşturma : Kişisel verileri otomatikleştirir ve birinin (belirli) davranışını tahmin etmek için analiz ederseniz, bu profil oluşturma olarak sayılır.

Takma isimlendirme – Kişisel verileriniz var. Bunu, artık bir veri konusuna atfedilemeyecek şekilde işlersiniz - en azından, ayrı olarak tutulan başka bir bilgi parçası olmadan. Klasik örnek, tanımlanabilir verileri, daha sonra "kilidi açılabilen" ve yeniden ilişkilendirilebilen bir dizi rastgele sayı gibi, tersine çevrilebilir, tutarlı bir değerle değiştirmektir.

Bu, gerçekte anonimleştirilmiş verilerden farklıdır: tanımlanabilir bilgi parçasının tamamen yok edildiği.

GDPR kapsamında hangi tekniklerin takma ad olarak "sayıldığı" henüz tam olarak belirlenmedi ve ne tür verilerin "tanımlanması muhtemel" veya "makul olarak muhtemel" olarak sayıldığı konusunda çok fazla gri alan var.

Ancak kişisel verilerinizi takma ad vermek için bazı süslü, GDPR teşvikleri vardır. Bunları Resital 29'da bulabilirsiniz.

Örneğin, standart, normal kişisel verilerinizi topladığınızda, bunları yalnızca veri öznesi tarafından açıkça "tamam" gerekçeleriyle kullanabilirsiniz. Ancak takma adla, verileri nasıl işleyeceğiniz konusunda biraz daha fazla serbestliğe sahipsiniz - orijinal olarak toplandığından farklı bir amaç için olsa bile.

Alıcı – Kişisel verilerin ifşa edildiği kişi.

Düzenleme – Bağlayıcı olan ve tüm AB'de geçerli olan yasa.

Temsilci – GDPR uyumluluğunu gözden kaçıran kişilerin endişelerini gidermek için veri denetleyicilerini (yani şirketinizi) araması gerekiyorsa, temsilcilerinize başvururlar. Temsilcilerin Birlik'te olması ve görev için açıkça atanmış olması gerekir.

Unutulma Hakkı : Yukarıdaki Veri Silme bölümüne bakın.

Erişim Hakkı / Özne Erişim Hakkı : Birinin kişisel verilerine sahipseniz, ona erişim isteyebilirler. Onlara verebilmeniz gerekir.

Denetim Otoritesi : Her AB üye devleti, GDPR uyumluluğunu denetlemek için bir kamu otoritesi atayacaktır. Bu bir denetim makamıdır (ancak bunu bir DPA veya Veri Koruma Otoritesi olarak da biliyor olabilirsiniz).

Trilogues – Herkes önerilen mevzuatın ilk taslağını okuduktan sonra, Avrupa Komisyonu, Avrupa Parlamentosu ve AB Konseyi, müzakere etmek için gayri resmi olarak toplanır. Bu toplantılara üçleme denir ve bir uzlaşma metninin hızla kabul edilebilmesi için yapılır.

Kısaltmalar:

BCR'ler : Bağlayıcı Şirket Kuralları (yukarıya bakın)

CFR : Avrupa Birliği Temel Haklar Şartı

ABAD : Avrupa Birliği Adalet Divanı.

DPA : Veri Koruma Otoritesi (Bkz. Denetleme Otoritesi)

DPO : Veri Koruma Görevlisi

AİHM : Avrupa İnsan Hakları Sözleşmesi.

EDPB : Avrupa Veri Koruma Kurulu

DEPS : Avrupa Veri Koruma Denetçisi

AÇA : Avrupa Ekonomik Alanı (28 AB üye ülkesi, artı İzlanda, Lihtenştayn ve Norveç)

TFEU : Avrupa Birliği'nin İşleyişine İlişkin Antlaşma.

WP29 : Çalışma Grubu Madde 29. Ulusal DPA'lardan oluşan AB düzeyinde bir danışma kuruluydu. Ancak EDPB, GDPR kapsamında aşağı yukarı onun yerini aldı.