• Anasayfa
  • Nesne
  • SEO
  • GDPR Kapsamında Verileri Nasıl İşleyeceğinizi Biliyor musunuz? Ardından Bu Hızlı Testi Geçin.

GDPR Kapsamında Verileri Nasıl İşleyeceğinizi Biliyor musunuz? Ardından Bu Hızlı Testi Geçin.

Yayınlanan: 2018-03-10
GDPR Kapsamında Verileri Nasıl İşleyeceğinizi Biliyor musunuz? Ardından Bu Hızlı Testi Geçin.

Bazı testler, kişiliğinizin daha çok bir "ilkbahar" mı yoksa bir "sonbahar" mı olduğunu söyler.

Bazıları, Veri Koruma Otoritesinin şirketinizi milyonlarca dolar para cezasına çarptırmaya yasal hakkı olup olmadığını söyler.

Bilin bakalım bu hangisi.

Oynama zamanı, bu GDPR uyumlu mu?

1.

GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

2.

GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

3.

Oli gardner'ın GDPR'si uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

4.

SuperOffice GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

5.

GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

6.

Waitrose GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

7.

Woolworths GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

8.

Santander GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var

9.

GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

10.

Lancome GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

11.

GDPR uyumlu mu?
  1. Bu uyumludur.
  2. Bu uyumlu değil.
  3. Hmm…daha fazla bilgiye ihtiyacımız var.

Cevap anahtarı

  1. B
  2. B
  3. B
  4. A
  5. B
  6. B
  7. A
  8. B
  9. A
  10. C
  11. C

Eğer 11 üzerinden 11 aldıysanız

Tebrikler! Siz bir GDPR süper yıldızısınız… veya başka bir şeysiniz.

Unvanlar, övgüler ve rozetler önemli değil. Ancak GDPR uyumluluğu çok fazla.

Ve görünüşe göre, kişisel verileri (tahmin etmediyseniz) işlemenin yolunu biliyorsunuz - çerezler, e-postalar veya hassas veriler için.

O yüzden sırtını sıvazla. Bilgeliğini paylaş. İş arkadaşlarınızı hazırlayın. Ve emin olmadığınız bir şey varsa, aşağıdaki açıklamaları tekrar okuyun.

11'de 11'den daha az bir şeyiniz varsa.

Bu işler zor

eyvallah. Anladık. Bu işler zor.

Okumaya devam etmek isteyebilirsiniz….

Birini özlüyorum? Birkaç kez tahmin et? Hatırlatıcıya mı ihtiyacınız var? İşte hızlı bir döküm.

1. B

Hey bak, internette görmüş olabileceğin o örnek bu!

Bu doğru arkadaşlar, onay kutularınızı önceden kontrol etmeyin. İnsanlar artık aktif olarak onay vermek zorunda.

“Sadece “ileri” düğmesine tıklamak istedim. O onay kutusunu bile görmedim. Artık e-posta listenizde miyim?”—kullanıcılarınızın asla düşünmesi gereken bir şey değil.

GDPR'nin resmi hale getirmek için işleme izni hakkında söyledikleri:

Veri sahibinin rızası', veri sahibinin, bir beyan veya açık bir olumlu eylem yoluyla, kendisi ile ilgili kişisel verilerin işlenmesine onay verdiği veya o – Madde 4

Açık, olumlu, eylem. Bu kutuları boş tutun.

2. B

Hayır, uyumlu değil.

Buradaki kilit nokta, GDPR kapsamında izin verilmeyen "donatılacak" bir şeydir. İşte buna “hayır” veren birkaç farklı alıntı.

“Veri sahibinin rızasının başka hususları da içeren yazılı bir beyan bağlamında verilmesi halinde, muvafakat talebi diğer hususlardan açıkça ayırt edilebilecek şekilde sunulur (…) ” – Madde 7(2)

“Rıza, aynı amaç veya amaçlarla gerçekleştirilen tüm işleme faaliyetlerini kapsamalıdır. İşlemenin birden fazla amacı olduğunda tümü için onay verilmelidir ” – Gerekçe 32

Yani bir etkinliğe katılmak mı? Bu, aylık bir haber bülteninden açıkça "farklı bir amaç". İzin ayrıca istenmelidir.

3. B

Bu, standart, ikna edici katılım formumuza benziyor. Ve bu her türlü uyumsuzluktur.

Öncelikle, veri konusunun hedeflerine ulaşması için gerekli olmayan birçok bilgiyi toplamak istiyor (diğer bir deyişle: almak için kaydoldukları PDF'yi onlara göndermek). Bu, veri minimizasyonu veya "tasarım gereği gizlilik" için GDPR gereksinimine aykırıdır. Buradaki en iyi uygulama şudur: bilgi topluyorsanız ve bunları neden topladığınız net değilse, bunu kullanıcılarınıza bildirmeniz gerekir.

Facebook bunun nasıl doğru yapılacağına dair harika bir örnek sunuyor:

Facebook harika bir örnek sunuyor

Ayrıca, bu örnek yine paketleme.

Önceki örneğe göre biraz daha az korkunç paketleme. Burada, PDF'yi almayı kabul ederek, en azından içerik almaya izin vermiş olursunuz . Bu bağlamda, bir e-posta listesi aboneliği ve indirme benzer bir "amaç"a sahiptir. Yine de—olduğu gibi ifade edildiğinde, onları “aynı” olarak çerçevelemekte zorlanacaksınız. Bu nedenle rıza ayrı olarak verilmelidir.

4. Bir

Hey hayır bu oldukça iyi!

Şimdi, burada bir şirket adı veya telefon numarası toplamaları gerekmediğini iddia edebilirsiniz. Bu nedenle, tasarım gereği mahremiyete uyum sağlamak için bu alanlar atlanmalıdır.

Ancak buradaki kullanıcı hedefinizin bir CRM'yi test etmek olduğunu ve bilirsiniz, şirketleri için müşteri ilişkilerini yönetmek olduğunu düşünürsek, SuperOffice'in bu şirketin kim olduğunu bilmek isteyeceği mantıklıdır.

Bu yüzden onlara izin vereceğiz.

Ayrıca, bu kutuların ne kadar güzel, bölümlere ayrılmış ve işaretlenmemiş olduğuna bakın. Gizlilik politikalarına açık bir şekilde izin vermelerini istiyorlar. Ayrı, aktif izin istediler.

GDPR yerleştirildiğinde, bu uçmalıdır.

5. B

Onlar. öyleydi. kapat.

O ikinci onay kutusuna ve üçüncü şahısların sözüne kadar.

GDPR kapsamında, verilerinizi paylaşmak istediğiniz herhangi bir üçüncü tarafın adı belirtilmelidir. “Güvenilir üçüncü taraflar” yeterince açık değil. Kategoriler çalışmıyor. Birisi üçüncü şahıslardan haber almayı tercih edecekse, bu şahısların tam olarak kim olduğunu bilmeleri gerekir.

6. B

İyi haber şu ki….üçüncü şahısları haklı buldular.

Ayrı ayrı rıza hakkı aldılar.

Ancak bu bir tercih değil, bir çıkıştır.

“Hayır”ı işaretlemediğiniz sürece sizinle iletişime geçilecektir.

Bu bana olumlu, aktif bir rıza gibi gelmiyor.

7. Bir

10/10.

Woolworth NAILS ayrıntılı katılım.

Bu örnek hakkında neden mantıksız bir şekilde heyecanlandığımı merak ediyorsanız - bu, birçok biçimin alt üst ettiği bir şeydir.

Yaygın bir hata, materyal göndermek için onay istemek, ancak "nasıl" kısmını ayırmayı unutmaktır.

Bir hatırlatma: Metin göndermek istiyorsanız, metin göndermek için özel izin almanız gerekir. E-posta göndermek istiyorsanız, e-posta göndermek için ayrı, özel, onay almanız gerekir.

Woolworth ayrıca onlardan tam olarak ne tür materyaller alacağınızı da söyler. Bu, hem GDPR uyumluluğu hem de kitlenizi kaydolmaya ikna etmek için iyi bir fikirdir.

8. B

GSYİH için yumuşak katılım için bir dakikalık sessizlik onu öldürdü.

Benzersiz tanımlayıcılara sahip çerezler, GDPR kapsamında kişisel verilerdir.

Ve hatırladığınız gibi—kişisel veriler aktif, açık, spesifik, yada yada yada rıza gerektirir.

Bu, "bu siteyi kullanarak kabul etmiş olursunuz" saçmalığının artık yasal olmadığı anlamına gelir. Ve olumlu bir evet alana kadar çerezleri çalıştırmaya başlayamazsınız.

(Bu, GDPR ve ePrivacy'nin kesiştiği noktayla ilgili büyük, karmaşık ve dağınık bir konudur. Bununla ilgili daha fazla bilgiyi buradan okuyabilirsiniz).

9. Bir

muhteşem

Bu, 8 numaranın yanlış yaptığı her şeyi yapar, doğru.

Bu çerezlerin tam olarak ne için kullanıldığını size söyler. Ve sonra size bunları kabul etmek veya etmemek için net bir seçenek sunar.

Ve son bir gelişme için, genişletmenize ve hangi kurabiyelerin uygun olduğunu ve hangilerinin uygun olmadığını seçmenize izin verir.

Hukuki açıdan bakıldığında güzel bir şey.

(Bununla birlikte, pazarlama açısından, kullanıcılarınıza dahil olup olmamaları için fazla bir neden vermemişsinizdir. Belki sitenizin çerezlerinin yararına ilişkin daha iyi bir açıklama, bu çabaya yardımcı olabilir).

10. C

Yani, bir tür hileli soru.

Bahsettiğimiz gibi, GDPR onaylı onaydan bahsediyorsak bu başarısız olur. Önceden işaretlenmiş kutular "hayır"dır.

Ancak kendimize "Lancome'un bu kişiye e-posta gönderme hakkı var mı?" diye soruyorsak, değerlendirmemiz gereken birkaç şey daha var.

Çünkü bunun yeterince zor olmaması durumunda , kişisel verileri yasal olarak işlemenin tek yolu rıza değildir .

Girin: meşru menfaatler koşulu.

Ama heyecanlanma. Algılanan “meşru çıkarlar” nedeniyle verileri işlemek zordur.

Bu durum daha çok “Dolandırıcılık önleme hizmetlerini gerçekleştirmek için hesap numaralarını işlemem gerekiyordu” durumları için geçerlidir.

“Meşru olarak ilgilendiklerini düşündüm, bu yüzden onlara izinsiz bir sürü e-posta gönderdim” durumları değil.

Ancak insanlara ilerlemeyi sağlayan bir şey, mevcut müşterilerin verileriyle ilgili.

Bahsettikleri mevzuatta şu satır var:

Bu tür meşru menfaat, örneğin veri sahibinin bir müşteri olduğu veya kontrolörün hizmetinde olduğu gibi durumlarda veri sahibi ile kontrolör arasında ilgili ve uygun bir ilişkinin olduğu durumlarda mevcut olabilir. ” –Resital 47

Buradaki anahtar, kendinize şunu sormaktır: "Bu eylemi gerçekleştirmek, (veri öznesi) verilerimin bu şekilde kullanılacağını makul bir şekilde beklememi sağlar mı?"

Yani, bir gömlek alırsam, satın alma işlemimi onaylayan bir e-posta almamı makul bir şekilde bekler miydim? (E-posta almayı açıkça kabul etmeden mi?).

Evet, oldukça iyi bir davanız var, burada meşru menfaat geçerli.

Benzer bir üründe önümüzdeki hafta büyük bir indirim olacağına dair bir bildirime ne dersiniz?

Durumunuz biraz daha inceliyor.

Haftalık e-postalar?

Kağıtrrrr ince.

Dürüst olmak gerekirse, standart sipariş onaylarınızı geçmiş olsak bile, bunu riske atmayız. İzin istemek (uygun şekilde!), üslerinizin kapsanmasını sağlamanın en güvenli yoludur.

Ancak kişisel verileri işlemek için gerçekten meşru menfaat koşulunu kullanmak istiyorsanız, öncelikle burayı okumanızı rica ederiz.

11. C

BUNUN İÇİN BAŞKA BİR EĞLENCELİ BÜKÜM.

GDPR, "hassas kişisel veriler" adı verilen ayrı bir veri kategorisini özetlemektedir. Ve bu tür bilgiler için işleme gereksinimleri farklıdır.

Size hemen şimdi itiraf edeceğim, bu en iyi örnek değil. Bu yüzden bu biraz acımasız bir soruydu ve bir tür esneme. (Eğer ilgileniyorsanız, veri gizliliği açısından birinin ağırlığının hangi noktada sağlık verileri olarak sayıldığı konusunda şu anda karmaşık bir tartışma yapılıyor).

Madde 9'da hangi verilerin "hassas" olarak sayıldığına ilişkin tam dil şu şekildedir:

Hassas kişisel veriler, aşağıdakilere ilişkin bilgilerden oluşan kişisel veriler anlamına gelir:

(a) veri sahibinin ırkı veya etnik kökeni,

(b) siyasi görüşleri,

(c) dini inançları veya benzer nitelikteki diğer inançları,

(d) bir sendikaya üye olup olmadığı (1992 Sendika ve Çalışma İlişkileri (Konsolidasyon) Yasası anlamında),

(e) fiziksel veya zihinsel sağlığı veya durumu,

(f) cinsel hayatı,

(g) herhangi bir suçun komisyonu veya iddia edilen komisyonu, veya

(h) kendisi tarafından işlenen veya işlendiği iddia edilen herhangi bir suçla ilgili herhangi bir takibat, bu kovuşturmanın sona ermesi veya bu kovuşturmada herhangi bir mahkemenin cezası.

Diyelim ki bu uygulama “fiziksel veya zihinsel sağlık veya durum” konuları hakkında kesin olarak veri olarak sayılanları topluyor. Önceki tıbbi durumları sorar, zamanla kilonuzu ve kan basıncınızı veya uyku düzeninizi kaydeder.

Hassas kişisel veri olarak sayılan bilgileri toplarsa, ne olacak?

Bu uygulamanın kişisel verileri hassas değilse, bu oldukça uyumlu bir alım formu gibi görünüyor. Açık bir meşru menfaat davası olmalı gibi görünüyor.

Uygulamayı kullanmak için kaydoluyorsunuz. Uygulamayı kullanmak istiyorsunuz. Uygulamayı kullanmayı kabul edersiniz.

Ve uygulama kondisyonunuzu takip eder.

Tabii ki, formda olduğunuza dair veri istemeleri size meşru görünüyor. Ayrıca, bu verilerin nasıl kullanıldığını bilmek istiyorsanız, erişilebilir bir gizlilik politikası ve koşullar beyanı var.

Ancak, bu "hassas kişisel veriler" ise, izlememiz gereken ek işleme koşulları vardır.

  1. Meşru menfaatler artık işleme koşulu olarak sayılmaz.
  2. Onay koşuluna dayalı olarak işlemeyi seçerseniz, bunun artık yalnızca "belirsiz" olması gerekmez - "açık" olması gerekir.

Bu, yalnızca bir "Beni Kaydol" Düğmesine tıklamanın yeterince iyi olmadığı anlamına gelir.

GDPR, “toplanan verilerin yapısını, otomatik kararın ayrıntılarını ve etkilerini veya aktarılacak verilerin ayrıntılarını ve aktarımın risklerini belirten” bir açıklamaya ihtiyacınız olduğunu söylüyor (Direktif 95/46/ AT, Madde 29).

Veya ICO onu parçalarken:

Bu, bireyin rızasının kesinlikle açık olması gerektiğini göstermektedir. Belirli işleme ayrıntılarını kapsamalıdır; bilgi türü (hatta belirli bilgiler); işlemenin amaçları; ve yapılabilecek açıklamalar gibi bireyi etkileyebilecek her türlü özel husus.

VE SONRA, insanlar bunun hepsini öğrendiğinde—onlardan açık bir işlem talep etmeniz gerekir. "Kabul ediyorum" veya "Kabul ediyorum" yazan bir kutuyu işaretlemek gibi.

Temel olarak: bu verilerle yaptığınız her şeyi bilmeleri gerekir. Ve size, olumlu bir eylemle, sorun olmadığını açıkça söylemeliler.

SO, eğer bu hassas kişisel verilerse - sadece gizlilik politikanızı ve hizmet şartlarınızı formdan sonra küçük harflerle yazmanız yeterli değildir. İnsanların okuma şansı olduğundan emin olmanız ve ardından bir kutuyu işaretlemeniz veya "Kabul ediyorum" yazan bir düğmeyi tıklamanız gerekir.