GDPR Uygulama Aşamasına İki Hafta Kaldı, Şimdi Ne Var?

Sonunda oldu. Genel Veri Koruma Yönetmeliği nihayet 25 Mayıs 2018'de memler ve diğerlerinde uygulama aşamasına girdi .

Pek çok reklamverenin korktuğu şeye rağmen, GDPR'nin uygulama aşamasına girmesinden sonra dünyanın sonu gelmedi. Ama değişti. İllüstrasyon kredisi: Gizliliği Öğretin

Sektör hazır mıydı? Bu son dakika politika güncellemeleri yeterli miydi? Şimdi ne olacak? Bu blog yazısında, önemli oyuncuların son teslim tarihine nasıl hazırlandıklarına, GDPR'nin yürürlüğe girmesiyle nelerin geleceğine ve şirketinizin bundan sonra uyumluluk için nasıl çalışabileceğine bir göz atacağız.

En Büyük Oyunculara İlk Vuruşlar

En büyük şirketlerin dava açmanın acısını hissetmesi uzun sürmedi. GDPR'nin yürürlüğe girmesinden sadece birkaç dakika sonra , gizlilik aktivisti Max Schrems ve kuruluşu Hiçbiri İşletmeniz Google ve Facebook'u “zorla izin” iddiasıyla davalarla vurdu. Davalar, belirli rızaya ilişkin GDPR kurallarına uyulmadığını iddia ediyor, çünkü bu şirketler, kullanıcılara bazı şartlara rıza göstermelerine izin vermek yerine, bu hizmete erişmek için bu şartları kabul et ya da hiç seçeneği sunuyor.

Google ve Facebook, GDPR'ye uymak için yeterli önlemleri aldıkları konusunda ısrar ederek yanıt verdi.

Ardından Fransız dijital haklar grubu La Quadrature du Net , Google, Facebook, Apple, Amazon ve LinkedIn'e karşı ek şikayetlerde bulundu. Şikayetler, Schrems tarafından yapılanlara benzer ve zorla rıza kullanımı yoluyla ihlal iddiasında bulunuyor. La Quadrature ayrıca Android, WhatsApp, Instagram, Skype ve Outlook'a karşı resmi şikayette bulunmayı planlıyor, ancak bu yazı itibariyle henüz resmi bir işlem yapılmadı.

Apple, Facebook ve Google Nasıl Hazırlandı?

Şikayetlerin bu şirketlerden herhangi birini gerçekten şaşırttığını söylemek zor olsa da, birçoğu yaptırıma giden günlerde genel bir hazırlık duygusu iletmişti.

Örneğin Apple , Mayıs 2018'in sonlarında müşterilere kendilerinde hangi kişisel verileri tuttuğunu gösteren yeni bir web sitesi sundu . AB'deki Apple müşterileri artık oturum açma geçmişinden kişilere, takvime, notlara, fotoğraflara ve belgelere kadar bu verileri görmek isteyebilir. Müşteriler ayrıca verileri düzeltebilir, hesaplarını devre dışı bırakabilir ve tüm bilgileri silebilir. (Apple şu anda bu hizmeti yalnızca AB ülkeleri, İzlanda, Lihtenştayn, Norveç ve İsviçre'de sunuyor, ancak bu yıl içinde diğer ülkelere de yayılmayı planladığını söylüyor.)

Nisan 2018'de Facebook , web sitesini hizmet şartlarının ve veri politikasının daha net sürümleriyle güncelleyerek, kullanıcılara yeni dil hakkında geri bildirim sağlamaları için yedi gün süre tanıdı ve kullanıcılardan bunu kabul etmelerini istedi. Facebook ayrıca ayarların daha kolay bulunmasını sağlamak için uygulamanın kontrollerini elden geçireceğini ve düzene sokacağını açıkladı ve "ayarların yaklaşık 20 farklı ekrana yayılması yerine, artık tek bir yerden erişilebilir" dedi.

Google, GDPR ile ilgili güncellemeler yaptıkları ve kullanıcıları GDPR'nin son tarihinden altı ay önce bilgilendirdikleri için ilk aktörlerden biriydi. En önemli güncellemeler, verilerin nasıl kullanılacağına ilişkin "açık ve şeffaf bildirim" gerekliliğine uymak için G Suite ve Google Cloud için veri işleme değişiklikleri ve güvenlik şartlarında yapılmıştır. Diğer güncellemeler, verileri dışa aktarmak için yeni seçenekler ve yetenekler içerir.

ileride ne var

GDPR'nin tam etkisi henüz belirlenmedi ve kısmen müşterilerin ve aktivist grupların yeni haklarını ne kadar yoğun bir şekilde kullandıklarına bağlı olacak. Ağustos 2017'de İngiltere'deki tüketicilere yönelik bir Forrester anketinde , yanıt verenlerin %51'i GDPR kapsamındaki yeni haklarını en azından bir dereceye kadar kullanma olasılıklarının olduğunu söyledi. Bununla birlikte, belirtilen en yaygın örnek, tam teşekküllü davalardan çok uzak olan veri silme idi.

Ancak bu yeni düzenlemenin en büyük getirisi, daha fazla tüketicinin şirketleri incelemesi değil, daha fazla şirketin diğer şirketleri incelemesi. GDPR, kişisel verilere dokunan tüm taraflar için ortak sorumluluklar gerektirdiğinden, şirketler iş ortaklarının süreçlerini ve eylemlerini çok daha derinden incelemektedir. Veri Uyumluluğu Avrupa Direktörü Simon McGarr, GDPR'nin gerçek dehası bu, yakın tarihli bir Quartz makalesinde şöyle açıklıyor :

“Avrupa'da çok sayıda veri koruma yetkilisi var ama her kapıyı çalacak kadar yetkiye sahip değil. Bu nedenle, kanuna dahil edilmiş çok seviyeli bir uyum yapısına sahipler ve burada, sonunda küçük şirketlere uyumu zorlayan büyük şirketler ve benzeri şeyler oluyor.”

25 Mayıs'tan sonra olmasını umduklarından daha az hazırlıklı olan şirketler, iş ortaklarının baskısını şimdiden hissediyor olabilir ve siber güvenlik uzmanı Elliot Rose , son tarihten sonra hala hızlanmaya başlayan çok sayıda kuruluş olacağını tahmin ediyor. Bu durumda olanlar için ilk öncelik, hassas bilgilerle ilgilenen yüksek riskli alanları ele almaktır. Şirketler, hassas verilerin güvenliğini sağlamaya, nerede depolandığına ve bu verilere kimlerin eriştiğine bakmaya odaklanmalıdır. Önemli olan, bir planı uygulamaya koymak ve mümkün olduğunca hızlı (ve doğru bir şekilde) yola çıkmaktır.

Hazırlıklı Kalmak

Sonuç olarak, GDPR, gizlilik ve şeffaflık söz konusu olduğunda oyun alanına bile yardımcı olacak ve daha önce kapalı oldukları iletişimin kapılarını açacaktır. Bir şirket olarak, sohbeti sürdürmek için atabileceğiniz birkaç adım:

Verilerin Yasal Olarak Nasıl İşlendiğini Değerlendirin

Son kullanıcılarınızın onayını aldınız mı? Spesifik, açık ve özgürce verilmiş mi? Son kullanıcı deneyiminiz bunu netleştiriyor mu? Verileri toplamak, işlemek ve depolamak için meşru bir menfaatiniz var mı? Her soruya “evet” ile cevap veremiyorsanız, bir adım geri atmanın zamanı geldi.

Tüm Gerekli Bildirimleri Güncelleyin

Mevcut gizlilik politikalarınızı, bildirimlerinizi veya son kullanıcılara sağladığınız diğer bilgileri gözden geçirdiniz mi? Bu önemli uyarılar toplama noktasında mı? Veri toplama, kullanım ve depolamanızı son kullanıcılar için şeffaf tutmak için tüm gizlilik bildirimlerinin gözden geçirilmesi gerekebilir.

Veri Erişimi, Düzeltme Hakkı ve Unutulma Hakkı Protokollerini Kabul Edin

Bu ilkeler, son kullanıcılarınızın eski veya yanlış kişisel verileri düzeltmesine ve işlemeden tamamen çıkarılmasına olanak tanır. Bu tür taleplere uygun şekilde yanıt vermek için dahili politikalar ve prosedürler uygulanmalı ve sürdürülmelidir.

Takma Adlı veya Anonim Verileri Kullanın

Verilerin anonimleştirilmesi veya takma adlı hale getirilmesi yoluyla benzersiz tanımlayıcıları kaldırmayı veya sınırlandırmayı düşünün. Bazı teknikler, karma, tuzlama, şifreleme ve belirteçlerin kullanımını içerir. Bu, son kullanıcıların gelecekteki tanımlama potansiyelini en aza indirmeye yardımcı olabilir ve ayrıca uyumluluk yükümlülüklerinizi en aza indirmeye yardımcı olabilir.

TUNE ve GDPR hakkında daha fazla bilgi edinmek için buradaki sayfamızı okuyun .