ÜCRETSİZ DANIŞMANLIK TALEP EDİN
Bir Sorunuz mu Var? Bir Uzmanı Arayın
ÜCRETSİZ DANIŞMANLIK TALEP EDİN
Menü
kapat
,

Genel Veri Koruma Yönetmeliği (GDPR) şirketiniz için ne anlama geliyor?

4 Eylül 2023'te güncellendi

Gizlilik günümüzde çok önemli bir mesele, özellikle de dünya çapında büyük dijitalleşme gerçekleştiğinden beri. Bazı kişilerin verileri kötüye kullanmasını ve hatta çalmasını önlemek için verilerimizin işlenme şeklinin denetlenmesi ve düzenlenmesi gerekir. Gizliliğin bir insan hakkı olduğunu biliyor muydunuz? Kişisel veriler son derece hassastır ve kötüye kullanıma açıktır; bu nedenle çoğu ülke, (kişisel) verilerin kullanımını ve işlenmesini sıkı bir şekilde düzenleyen mevzuatı benimsemiştir. Ulusal yasaların yanı sıra, ulusal mevzuatı etkileyen kapsayıcı düzenlemeler de bulunmaktadır. Örneğin Avrupa Birliği (AB), Genel Veri Koruma Yönetmeliği'ni (GDPR) uygulamaya koydu. Bu düzenleme Mayıs 2018'de yürürlüğe girmiştir ve AB pazarında mal veya hizmet sunan tüm kuruluşlar için geçerlidir. GDPR, şirketiniz AB merkezli olmasa da aynı zamanda AB'den müşterilere sahip olsa bile geçerlidir. GDPR düzenlemesinin ve gerekliliklerinin ayrıntılarına girmeden önce, öncelikle GDPR'nin neyi başarmayı amaçladığını ve bunun bir girişimci olarak sizin için neden önemli olduğunu açıklayalım. Bu makalede GDPR'nin ne olduğunu, uyum için neden uygun önlemleri almanız gerektiğini ve bunu mümkün olan en verimli şekilde nasıl yapabileceğinizi açıklayacağız.

GDPR tam olarak nedir?

GDPR, gerçek vatandaşların kişisel verilerinin korunmasını kapsayan bir AB düzenlemesidir. Bu nedenle mesleki verilerin veya şirketlerin verilerinin değil, yalnızca kişisel verilerin korunması amaçlanmaktadır. AB'nin resmi internet sitesinde şöyle anlatılıyor:

“Kişisel verilerin işlenmesine ilişkin gerçek kişilerin korunmasına ve bu tür verilerin serbest dolaşımına ilişkin (AB) 2016/679 sayılı Yönetmelik. Bu düzenlemenin düzeltilmiş metni 23 Mayıs 2018 tarihinde Avrupa Birliği Resmi Gazetesi'nde yayımlandı. GDPR, dijital çağda vatandaşların temel haklarını güçlendiriyor ve Dijital Tek Pazar'daki işletmelere yönelik kuralları açıklığa kavuşturarak ticareti teşvik ediyor. Bu ortak kurallar dizisi, farklı ulusal sistemlerin neden olduğu parçalanmayı ortadan kaldırmış ve bürokrasiyi önlemiştir. Yönetmelik 24 Mayıs 2016 tarihinde yürürlüğe girmiş olup, 25 Mayıs 2018 tarihinden itibaren yürürlüktedir. Şirketler ve bireyler için daha fazla bilgi.[1]başlıklı bir kılavuz yayınladı

Temel olarak, sundukları mal veya hizmetlerin niteliği gereği veri işlemesi gereken şirketler tarafından kişisel verilerin güvenli bir şekilde işlenmesini sağlamaya yönelik bir araçtır. Örneğin, AB vatandaşı olarak bir web sitesi üzerinden ürün sipariş etmeniz durumunda, AB'de ikamet ettiğiniz için verileriniz bu düzenleme kapsamında korunmaktadır. Daha önce de kısaca açıkladığımız gibi şirketin bu düzenleme kapsamına girebilmesi için bir AB ülkesinde kurulmuş olmasına gerek yok. AB'den gelen müşterilerle çalışan her şirketin, tüm AB vatandaşlarının kişisel verilerinin korunmasını ve güvende olmasını sağlamak için GDPR'ye uyması gerekiyor. Bu şekilde hiçbir şirketin verilerinizi özellikle belirtilen ve ana hatlarıyla belirtilen amaçlar dışında kullanmayacağından emin olabilirsiniz.

GDPR'nin özel amacı nedir?

GDPR'nin temel amacı kişisel verilerin korunmasıdır. GDPR düzenlemesi, sizinki de dahil olmak üzere büyük ve küçük tüm kuruluşların, kullandıkları kişisel veriler hakkında düşünmelerini ve bu verileri neden ve nasıl kullandıkları konusunda çok düşünceli ve düşünceli olmalarını istemektedir. Esasen GDPR, girişimcilerin müşterilerinin, çalışanlarının, tedarikçilerinin ve iş yaptıkları diğer tarafların kişisel verileri konusunda daha bilinçli olmalarını istiyor. Başka bir deyişle, GDPR düzenlemesi, yeterli sebep olmaksızın yalnızca bireyler hakkında veri toplayan kuruluşlara son vermek istiyor. Veya fazla dikkat etmeden ve size haber vermeden, şimdi veya gelecekte bundan bir şekilde yararlanabileceklerine inandıkları için. Aşağıdaki bilgilerde göreceğiniz gibi, GDPR aslında pek fazla yasaklama getirmiyor. Bireylerin mahremiyetine nasıl saygı duyduğunuz konusunda şeffaflık sağladığınız sürece e-posta pazarlamasına katılmaya devam edebilir, reklam vermeye devam edebilir ve müşterilerin kişisel verilerini satmaya ve kullanmaya devam edebilirsiniz. Düzenleme daha çok müşterilerinizin ve diğer üçüncü tarafların belirli hedefleriniz ve eylemleriniz hakkında bilgilendirilmesi için verileri kullanma şekliniz hakkında yeterli bilgi sağlamaya yöneliktir. Bu şekilde her birey, en azından bilgilendirilmiş rızaya dayalı olarak verilerini size sağlayabilir. Söylemek yeterli, söylediğinizi yapmanız ve verileri belirttiğiniz amaçlar dışında kullanmamanız gerekir, çünkü bu çok ağır para cezalarına ve diğer sonuçlara yol açabilir.

GDPR'nin geçerli olduğu girişimciler

Kendinize şu soruyu sorabilirsiniz: "GDPR benim şirketim için de geçerli mi?" Bunun cevabı oldukça basit: AB'den bireylerden oluşan bir müşteri tabanınız veya personel yönetiminiz varsa, o zaman kişisel verileri işlersiniz. Kişisel verileri işlerseniz Genel Veri Koruma Yönetmeliğine (GDPR) uymanız gerekir. Kanun, kişisel verilerle neler yapabileceğinizi ve bunları nasıl korumanız gerektiğini belirler. Bu nedenle, AB bireyleri ile çalışan tüm şirketlerin GDPR düzenlemesine uyması zorunlu olduğundan kuruluşunuz için her zaman önemlidir. Tüm profesyonel ve kişisel etkileşimlerimiz giderek daha dijital hale geliyor, dolayısıyla bireylerin mahremiyetini dikkate almak yapılacak en doğru şey. Müşteriler, sevdikleri mağazaların sağladıkları kişisel verileri özenle kullanmalarını bekler; bu nedenle, GDPR ile ilgili kendi kişisel düzenlemelerinizin düzenli olması gurur duyabileceğiniz bir şeydir. Ve ek bir avantaj olarak müşterileriniz buna bayılacak.

GDPR'ye göre kişisel verileri işlerken neredeyse her zaman bu verileri de işliyorsunuz. Verileri toplamayı, saklamayı, değiştirmeyi, eklemeyi veya iletmeyi düşünün. Verileri anonim olarak oluştursanız veya silseniz bile, aynı zamanda onları işliyorsunuz. Veriler, diğer tüm insanlardan ayırt edebileceğiniz kişileri ilgilendiriyorsa kişisel veridir. Bu, bu makalenin ilerleyen kısımlarında ayrıntılı olarak ele alacağımız, kimliği belirli bir kişinin tanımıdır. Örneğin, bir kişinin adını ve soyadını biliyorsanız onu tanımlamış olursunuz ve bu veriler aynı zamanda o kişinin resmi olarak yayınlanan kimlik bilgileri ile de eşleşir. Bu sürece dahil olan bir birey olarak kuruluşlara sağladığınız kişisel veriler üzerinde kontrol sizdedir. Her şeyden önce, GDPR size kuruluşların kullandığı belirli kişisel veriler ve bunların kullanım nedenleri hakkında bilgi edinme hakkını vermektedir. Aynı zamanda bu kuruluşların gizliliğinizi nasıl garanti altına aldığı konusunda bilgi alma hakkına da sahipsiniz. Ayrıca verilerinizin kullanımına itiraz edebilir, kuruluştan verilerinizi silmesini talep edebilir, hatta verilerinizin rakip bir hizmete aktarılmasını talep edebilirsiniz.[2] Yani aslında verinin ait olduğu kişi, veriyle ne yapacağınızı seçer. Bu nedenle, elde ettiğiniz kişisel verilerin tam olarak kullanımına ilişkin olarak vereceğiniz bilgiler konusunda kurum olarak titiz davranmanız gerekmektedir. Çünkü verinin ait olduğu kişinin, verilerinin işlenme nedenleri konusunda mutlaka bilgilendirilmesi gerekmektedir. Ancak o zaman birey, verileri doğru kullanıp kullanmadığınıza karar verebilir.

Tam olarak hangi veriler söz konusu?

Kişisel veriler GDPR kapsamında en önemli rolü oynamaktadır. Bireylerin mahremiyetinin korunması başlangıç ​​noktasıdır. GDPR yönergelerini dikkatli okursak verileri üç kategoriye ayırabiliriz. İlk kategori özellikle kişisel verilerle ilgilidir. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin tüm bilgiler olarak sınıflandırılabilir. Örneğin adı ve adres bilgileri, e-posta adresi, IP adresi, doğum tarihi, mevcut konumu ve ayrıca cihaz kimlikleri. Bu kişisel veriler, bir gerçek kişiyi tanımlayabilecek tüm bilgilerdir. Bu kavramın çok geniş bir şekilde yorumlandığını unutmayın. Kesinlikle soyadı, adı, doğum tarihi veya adresi ile sınırlı değildir. İlk bakışta kişisel verilerle hiçbir ilgisi olmayan belirli veriler, belirli bilgilerin eklenmesiyle yine de GDPR kapsamına girebilir. Bu nedenle, bilgisayarların internet üzerinden birbirleriyle iletişim kurduğu benzersiz sayı kombinasyonları olan (dinamik) IP adreslerinin bile kişisel veri olarak kabul edilebileceği genel olarak kabul edilmektedir. Bu elbette her özel durum için özel olarak dikkate alınmalıdır, ancak işlediğiniz verileri de dikkate alın.

İkinci kategori sözde anonim verilerle ilgilidir: Verilerin artık ek bilgi kullanılmadan izlenemeyeceği, ancak yine de kişiyi benzersiz kılacak şekilde işlenen kişisel veriler. Örneğin, yalnızca iyi korunan bir dahili veri tabanı aracılığıyla diğer verilere bağlanan şifrelenmiş bir e-posta adresi, kullanıcı kimliği veya müşteri numarası. Bu aynı zamanda GDPR'nin kapsamına da girmektedir. Üçüncü kategori tamamen anonim verilerden oluşur: geriye doğru izlemeye olanak sağlayan tüm kişisel verilerin silindiği veriler. Uygulamada, kişisel veriler ilk etapta izlenebilir olmadığı sürece bunu kanıtlamak genellikle zordur. Bu nedenle bu, GDPR'nin kapsamı dışındadır.

Kim kimliği belirlenebilir kişi olarak nitelendirilir?

Kimin 'kimliği belirlenebilir kişi' kapsamına girdiğini tanımlamak bazen biraz zor olabilir. Özellikle internette sahte sosyal medya hesaplarına sahip kişiler gibi pek çok sahte profil bulunduğundan. Genel olarak, çok fazla çaba harcamadan kişisel verilerinin izini sürebildiğinizde bir kişinin kimliğinin belirlenebilir olduğunu varsayabilirsiniz. Örneğin, hesap verilerine bağlayabileceğiniz müşteri numaralarını düşünün. Veya kolayca takip edebileceğiniz ve kime ait olduğunu anlayabileceğiniz bir telefon numarası. Bunların hepsi kişisel verilerdir. Birini tanımlamakta sorun yaşıyorsanız, biraz daha araştırma yapmanız gerekir. Kiminle karşı karşıya olduğunuzu bildiğinizden emin olmak için kişiden geçerli bir kimlik belgesi isteyebilirsiniz. Ayrıca, bir kişinin kimliğine ilişkin bilgi edinmek için (aslında hala mevcut olan) dijital telefon rehberi gibi doğrulanmış veritabanlarına da bakabilirsiniz. Bir müşterinin veya başka bir üçüncü tarafın kimliğinin belirlenebilir olup olmadığından emin değilseniz o müşteriyle iletişime geçip kişisel verilerini isteyin. Kişi sorunuza yanıt vermezse, genellikle sahip olduğunuz tüm verileri silmek ve size sağlanan bilgileri atmak en iyisidir. Muhtemelen birisi sahte kimlik kullanıyordur. GDPR bireyleri korumayı amaçlamaktadır ancak şirket olarak sizin de kendinizi dolandırıcılıktan korumak için uygun adımları atmanız gerekir. Ne yazık ki insanlar sahte kimlikler kullanabiliyor, bu nedenle insanların sağladığı bilgiler konusunda dikkatli olmak önemlidir. Birisi başka birinin kimliğini kullandığında bunun şirket olarak size ciddi yansımaları olabilir. Durum tespiti her zaman tavsiye edilir.

Üçüncü taraf verilerini kullanmanın meşru nedenleri

GDPR'nin ana bileşenlerinden biri, üçüncü taraf verilerini yalnızca belirli ve meşru amaçlarla kullanmanız gerektiği kuralıdır. Veri minimizasyonu gerekliliğine dayanarak, GDPR, kişisel verileri yalnızca mevcut altı GDPR yasal dayanağından biri tarafından desteklenen, belirtilen ve belgelenen bir iş amacı için kullanabileceğinizi belirtir. Başka bir deyişle, kişisel verileri kullanımınız belirtilen amaç ve hukuki dayanakla sınırlıdır. Kişisel verilerinizin işlenmesi, amacı ve yasal dayanağıyla birlikte bir GDPR kaydında belgelenmelidir. Bu belge, sizi her bir işleme faaliyeti hakkında düşünmeye ve bunun amacını ve yasal dayanağını dikkatlice düşünmeye zorlar. GDPR, aşağıda özetleyeceğimiz altı yasal dayanağı mümkün kılmaktadır.

  1. Sözleşmeden doğan yükümlülükler: Sözleşme yapılırken kişisel verilerin işlenmesi zorunludur. Kişisel veriler bir sözleşmenin uygulanması sırasında da kullanılabilir.
  2. Rıza: Kullanıcı, kişisel verilerinin kullanılmasına veya çerez yerleştirilmesine açıkça izin vermektedir.
  3. Meşru menfaat: Kişisel verilerin işlenmesinin, kontrolörün veya üçüncü bir tarafın meşru menfaatleri doğrultusunda gerekli olması. Bu durumda denge önemlidir, veri sahibinin kişilik özgürlüklerini ihlal etmemelidir.
  4. Hayati menfaatler: Veriler ölüm kalım durumları ortaya çıktığında işlenebilir.
  5. Yasal yükümlülükler: Kişisel veriler hukuka uygun olarak işlenmelidir.
  6. Kamu çıkarları: Bu, kamu düzeni ve güvenliği ile genel olarak halkın korunmasına ilişkin riskler gibi esas olarak hükümetler ve yerel yönetimlerle ilgilidir.

Bunlar kişisel verileri saklamanıza ve işlemenize olanak sağlayan yasal dayanaklardır. Çoğu zaman bu nedenlerden bazıları örtüşebilir. Açıklayabildiğiniz ve yasal bir dayanağı olduğunu kanıtlayabildiğiniz sürece bu genellikle bir sorun değildir. Kişisel verilerin saklanması ve işlenmesine ilişkin yasal dayanaktan yoksun olduğunuzda başınız belaya girebilir. GDPR'nin bireylerin mahremiyetinin korunmasını göz önünde bulundurduğunu, dolayısıyla yalnızca sınırlı yasal dayanakların bulunduğunu unutmayın. Bunları bilin ve uygulayın; kurum veya şirket olarak güvende olursunuz.

GDPR'nin geçerli olduğu veriler

GDPR özünde verilerin tamamen veya en azından kısmen otomatik olarak işlenmesine uygulanır. Bu, örneğin bir veritabanı veya bilgisayar aracılığıyla veri işlemeyi gerektirir. Ancak aynı zamanda arşivde saklanan dosyalar gibi fiziksel bir dosyada yer alan kişisel veriler için de geçerlidir. Ancak bu dosyaların, içerdiği verilerin bir sipariş, dosya veya iş anlaşmasıyla bağlantılı olması açısından önemli olması gerekir. Üzerinde yalnızca bir ad bulunan el yazısı bir nota sahipseniz, bu, GDPR kapsamında veri olarak nitelendirilmez. Bu el yazısıyla yazılmış not, sizinle ilgilenen birinden gelebilir veya kişisel nitelikte olabilir. Verilerin şirketler tarafından işlenmesinin bazı yaygın yolları arasında sipariş yönetimi, müşteri veritabanı, tedarikçi veritabanı, personel yönetimi ve elbette haber bültenleri ve doğrudan postalar gibi doğrudan pazarlama yer alır. Kişisel verilerini işlediğiniz kişiye "veri sahibi" adı verilir. Bu kişi bir müşteri, haber bülteni abonesi, çalışan veya irtibat kişisi olabilir. Şirketlere ilişkin veriler kişisel veri olarak görülmezken, şahıs şirketlerine veya serbest meslek sahibi kişilere ilişkin veriler kişisel veri olarak kabul edilir.[3]

Çevrimiçi pazarlamaya ilişkin kurallar

Çevrimiçi pazarlama söz konusu olduğunda GDPR'nin önemli bir etkisi vardır. E-postayla pazarlama durumunda her zaman bir vazgeçme seçeneği sunmak gibi uymanız gereken bazı temel kurallar vardır. Ayrıca isteklinin tercihlerini belirtebilmesi ve ayarlayabilmesi de gerekir. Bu, şu anda bu seçenekleri sunmuyorsanız e-postaları ayarlamanız gerektiği anlamına gelir. Birçok kuruluş yeniden hedefleme mekanizmalarını da kullanıyor. Bu, örneğin Facebook veya Google Ads aracılığıyla gerçekleştirilebilir ancak bunu yapmak için açık izin istemeniz gerekeceğini unutmayın. Muhtemelen web sitenizde zaten bir gizlilik ve çerez politikanız vardır. Dolayısıyla bu kurallarla birlikte bu yasal kısımların da revize edilmesi gerekiyor. GDPR gereklilikleri bu belgelerin daha kapsamlı ve şeffaf olması gerektiğini belirtiyor. Bu ayarlamalar için sıklıkla internette ücretsiz olarak bulunabilen model metinlerini kullanabilirsiniz. Gizlilik ve çerez politikalarınıza ilişkin yasal düzenlemelerin yanı sıra, bir veri işleme görevlisinin atanması gerekmektedir. Bu kişi, verilerin işlenmesinden sorumludur ve kuruluşun GDPR'ye uyumlu olmasını ve uyumlu kalmasını sağlar.

GDPR'ye uymanın ipuçları ve yolları

Elbette en önemli şey, bir girişimci olarak GDPR gibi yasal düzenleme ve kurallara uymanızdır. Neyse ki, GDPR'ye mümkün olduğunca az çaba harcayarak uymanın yolları var. Daha önce de tartıştığımız gibi, GDPR aslında hiçbir şeyi yasaklamıyor ancak kişisel verilerin işlenebileceği yol konusunda katı kurallar koyuyor. Belirli yönergelere uymazsanız ve verileri GDPR'de belirtilmeyen veya kapsamı dışında kalan nedenlerle kullanırsanız para cezaları ve hatta daha kötü sonuçlarla karşılaşabilirsiniz. Bunun yanı sıra, birlikte çalıştığınız tüm tarafların, onların verilerine ve mahremiyetlerine saygı duyduğunuzda, bir işletme sahibi olarak size de saygı duyacaklarını unutmayın. Bu size iş açısından gerçekten iyi olan olumlu ve güvenilir bir imaj sağlayacaktır. Şimdi GDPR'ye uyumu kolay ve etkili bir süreç haline getirecek bazı ipuçlarını tartışacağız.

1. İlk etapta hangi kişisel verileri işlediğinizin haritasını çıkarın

Yapmanız gereken ilk şey, tam olarak hangi verilere ihtiyacınız olduğunu ve hangi amaçla araştırma yapmak olacaktır. Hangi bilgileri toplayacaksınız? Hedeflerinize ulaşmak için ne kadar veriye ihtiyacınız var? Yalnızca bir ad ve e-posta adresi mi yoksa fiziksel adres ve telefon numarası gibi ekstra verilere de mi ihtiyacınız var? Ayrıca hangi verileri sakladığınızı, nereden geldiğini ve bu bilgileri hangi taraflarla paylaştığınızı listelediğiniz bir işleme kaydı oluşturmanız gerekir. Ayrıca saklama sürelerini de hesaba katın çünkü GDPR bu konuda şeffaf olmanız gerektiğini belirtir.

2. Genel olarak işletmeniz için gizliliği bir öncelik haline getirin

Gizlilik çok önemli bir konudur ve teknoloji ve dijitalleşme yalnızca ilerleyip arttığı için bu durum öngörülemeyen gelecekte de böyle kalacaktır. Bu nedenle bir girişimci olarak gerekli tüm gizlilik düzenlemeleri hakkında bilgi sahibi olmanız ve iş yaparken buna öncelik vermeniz çok önemlidir. Bu yalnızca yürürlükteki tüm yasalara uymanızı sağlamakla kalmayacak, aynı zamanda şirketiniz için bir güven imajı da oluşturacaktır. Bu nedenle, bir girişimci olarak, GDPR kurallarına kendinizi kaptırın veya hukuk uzmanlarından tavsiye alın; böylece, konu gizlilik olduğunda yasal olarak iş yaptığınızdan emin olabilirsiniz. Şirketinizin tam olarak hangi kurallara uyması gerektiğini öğrenmeniz gerekir. Hollandalı yetkililer ayrıca günlük olarak kullanabileceğiniz tonlarca bilgi, ipucu ve araçla size yolunuza yardımcı olabilir.

3. Kişisel verilerin işlenmesine ilişkin doğru yasal dayanağı belirleyin

Daha önce de tartıştığımız gibi, GDPR'ye göre kişisel verileri işlemenize ve saklamanıza izin veren yalnızca altı resmi yasal dayanak vardır. Veri kullanacaksanız kullanımınızın hangi hukuki dayanağa dayandığını bilmeniz hayati önem taşımaktadır. İdeal olarak, şirketinizle yaptığınız farklı veri işleme türlerini örneğin gizlilik politikanızda belgelemeniz gerekir; böylece müşteriler ve üçüncü taraflar bu bilgileri okuyabilir ve kabul edebilir. Daha sonra her eylem için doğru yasal dayanağı ayrı ayrı belirleyin. Kişisel verilerinizi yeni saik veya sebeplerle işlemeniz gerekiyorsa, başlamadan önce bu aktiviteyi de mutlaka ekleyin.

4. Veri kullanımınızı mümkün olduğunca en aza indirmeye çalışın

Bir kuruluş olarak siz, belirli bir hedefe ulaşmak için yalnızca minimum veri öğelerini topladığınızdan emin olmalısınız. Örneğin, çevrimiçi olarak ürün veya hizmet satıyorsanız, kayıt sürecinin sorunsuz ilerlemesi için kullanıcılarınızın genellikle size yalnızca bir e-posta ve şifre sağlamaları gerekir. Kayıt sürecinin bir parçası olarak müşterilere cinsiyetlerini, doğum yerlerini ve hatta adreslerini sormanıza gerek yok. Yalnızca kullanıcılar bir ürünü satın almaya devam ettiğinde ve ürünün belirli bir adrese gönderilmesini istediğinde daha fazla bilgi istemek gerekli hale gelir. Daha sonra, bu aşamada kullanıcının adresini talep etme hakkına sahip olursunuz; çünkü bu, herhangi bir gönderim süreci için önemli bir bilgidir. Toplanan veri miktarının en aza indirilmesi, potansiyel gizlilik veya güvenlikle ilgili olayların etkisini en aza indirir. Veri minimizasyonu, GDPR'nin temel bir gerekliliğidir ve yalnızca ihtiyacınız olan bilgileri işlediğinizden, daha fazlasını işlemediğiniz için kullanıcılarınızın gizliliğini korumada son derece etkilidir.

5. Verilerini işlediğiniz kişilerin haklarını bilin

GDPR hakkında bilgi sahibi olmanın önemli bir kısmı, verilerini sakladığınız ve işlediğiniz müşterilerinizin ve diğer üçüncü tarafların hakları konusunda kendinizi bilgilendirmektir. Ancak onların haklarını bilerek kendinizi koruyabilir ve para cezalarından kaçınabilirsiniz. GDPR'nin bireylere bir takım önemli haklar getirdiği doğrudur. Kişisel verileri inceleme hakkı, verileri düzelttirme veya sildirme hakkı, verilerinin işlenmesine itiraz etme hakkı gibi. Bu haklara aşağıda kısaca değineceğiz.

  • Erişim hakkı

Birinci erişim hakkı, bireylerin kendileri hakkında işlenen kişisel verileri görüntüleme ve bunlara danışma hakkına sahip olduğu anlamına gelir. Bir müşteri bunu isterse, bu nedenle ona bunu sağlamakla yükümlüsünüz.

  • Düzeltme hakkı

Düzeltme, düzeltmeyle aynıdır. Bu nedenle düzeltme hakkı, bireylere, bir kuruluşun kendileri hakkında işlediği kişisel verilerde, bu verilerin doğru şekilde işlenmesini sağlamak amacıyla değişiklik ve ekleme yapma hakkı verir.

  • Unutulma hakkı

Unutulma hakkı tam olarak ne söylediği anlamına gelir: Müşteri özellikle bunu istediğinde 'unutulma' hakkı. Bir kuruluş daha sonra kişisel verilerini silmekle yükümlüdür. Yasal yükümlülükler söz konusu olduğunda bireyin bu haktan yararlanamayacağını unutmayın.

  • İşlemeyi kısıtlama hakkı

Bu hak, veri sahibi olarak bir bireye, kişisel verilerinin işlenmesini kısıtlama fırsatı verir; bu, daha az verinin işlenmesini isteyebileceği anlamına gelir. Örneğin, bir şirket ilgili süreç için kesinlikle gerekli olandan daha fazla veri isterse.

  • Veri taşınabilirliği hakkı

Bu hak, bireyin kişisel verilerini başka bir kuruluşa aktarma hakkına sahip olduğu anlamına gelir. Örneğin, birisi bir rakibe gidiyorsa veya bir personel başka bir şirkette çalışıyorsa ve siz bu şirkete veri aktarıyorsanız,

  • Nesne hakkı

İtiraz hakkı, bir bireyin kişisel verilerinin işlenmesine, örneğin verilerin pazarlama amacıyla kullanılmasına itiraz etme hakkına sahip olduğu anlamına gelir. Bu hakkı belirli kişisel nedenlerden dolayı kullanabilirler.

  • Otomatik karar almaya tabi olmama hakkı

Bireyler, kendileri için önemli sonuçlar doğurabilecek veya insan müdahalesinin hukuki sonuçları doğurabilecek tam otomatik karar alma süreçlerine tabi olmama hakkına sahiptir. Otomatik işlemeye bir örnek, kredi almaya uygun olup olmadığınızı tamamen otomatik olarak belirleyecek bir kredi derecelendirme sistemidir.

  • Bilgi edinme hakkı

Bu, bir kuruluşun bireylere, kişisel verilerinin toplanması ve işlenmesi hakkında net bilgi vermesi gerektiği anlamına gelir. Bir kuruluş, GDPR ilkelerine göre hangi verileri neden işlediğini belirtebilmelidir.

Bu haklara aşina olarak, müşterilerin ve üçüncü tarafların işlediğiniz veriler hakkında ne zaman bilgi alabileceğini daha iyi öngörebilirsiniz. O zaman onlara talep ettikleri bilgileri göndermenin çok daha kolay olduğunu göreceksiniz, çünkü hazırlıklıydınız. Örneğin, gerekli verileri hızlı ve verimli bir şekilde çekmenize olanak tanıyan iyi bir müşteri yönetimi sistemine yatırım yaparak, sorularınıza her zaman hazırlıklı olmak ve verileri elinizin altında ve hazırda tutmak size çok zaman kazandırabilir.

Uymadığınızda ne olur?

Bu konuya daha önce kısaca değinmiştik: GDPR'ye uymadığınız takdirde bunun sonuçları oluyor. Bir kez daha belirtmek isterim ki, uyum sağlamak için AB merkezli bir şirkete sahip olmanıza gerek yoktur. Verilerini işlediğiniz AB'de yerleşik bir müşteriniz bile varsa, GDPR kapsamına girersiniz. Verilebilecek iki düzeyde para cezası vardır. Her ülkedeki yetkili veri koruma makamı iki düzeyde etkili para cezaları verebilir. Bu seviye spesifik ihlale göre belirlenir. Birinci düzey cezalar, reşit olmayanların kişisel verilerinin ebeveyn izni olmadan işlenmesi, veri ihlalinin bildirilmemesi, gerekli veri güvenliği açısından yeterli garanti sağlamayan bir işleyiciyle işbirliği yapılması gibi ihlalleri içermektedir. Bu cezalar 10 milyon Euro'ya kadar veya bir şirket söz konusu olduğunda, bir önceki mali yıla göre dünya çapındaki toplam yıllık cironuzun %2'sine kadar çıkabilir.

Temel suçlar işlerseniz ikinci düzey uygulanır. Örneğin, veri işleme ilkelerine uyulmaması veya bir kuruluşun, veri sahibinin fiilen veri işlemeye rıza verdiğini kanıtlayamaması. İkinci düzey cezaların kapsamına girerseniz, maksimum 20 milyon Euro tutarında veya şirketinizin küresel cirosunun %4'üne kadar para cezası riskiyle karşı karşıya kalırsınız. Bu tutarların maksimuma çıkarıldığını ve diğer faktörlerin yanı sıra kişisel durumunuza ve işletmenizin yıllık gelirine bağlı olduğunu unutmayın. Para cezalarına ek olarak, ulusal veri koruma makamı başka yaptırımlar da uygulayabilir. Bu, uyarı ve kınamalardan veri işlemenin geçici (ve hatta bazen kalıcı) durdurulmasına kadar değişebilir. Bu durumda, kişisel verilerinizi geçici veya kalıcı olarak kuruluşunuz aracılığıyla işlemeyi bırakabilirsiniz. Örneğin, defalarca ceza gerektiren suçlar işlemiş olduğunuz için. Bu aslında iş yapmanızı imkansız hale getirecektir. Bir diğer olası GDPR yaptırımı ise, haklı nedenlere dayanan bir şikayette bulunan kullanıcılara tazminat ödenmesidir. Kısacası bu tür ağır sonuçlardan kaçınmak için bireylerin mahremiyeti ve kişisel verileri konusunda dikkatli olun.

GDPR uyumlu olup olmadığınızı bilmek ister misiniz?

Hollanda'da bir iş kurmayı planlıyorsanız GDPR'ye uymanız gerekecektir. Hollandalı müşterilerle veya başka bir AB ülkesinde bulunan müşterilerle iş yapıyorsanız, bu AB düzenlemesine de uymanız gerekecektir. GDPR kapsamına girip girmediğinizden emin değilseniz her zaman bizimle iletişime geçebilirsiniz. Intercompany Solutions Konuyla ilgili tavsiye için. Geçerli iç düzenleme ve süreçlerinizin olup olmadığını ve üçüncü taraflara sağladığınız bilgilerin yeterli olup olmadığını öğrenmenize yardımcı olabiliriz. Bazen önemli bilgileri gözden kaçırmak çok kolay olabilir, ancak bu yine de başınızı kanunla belaya sokabilir. Unutmayın: Gizlilik son derece önemli bir konudur, bu nedenle en son düzenlemeler ve haberler konusunda her zaman güncel olmanız çok önemlidir. Bu konuyla ilgili sorularınız varsa veya Hollanda'daki ticari kuruluşlar hakkında daha fazla bilgi edinmek istiyorsanız bizimle iletişime geçmekten çekinmeyin. Intercompany Solutions istediğin zaman. Sorularınız için size memnuniyetle yardımcı olacağız veya net bir teklif sunacağız.

kaynaklar:

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

Hollanda BV şirketi hakkında daha fazla bilgiye mi ihtiyacınız var?

UZMANLIK İLE İLETİŞİM
Girişimcileri Hollanda'da iş kurma ve büyütme konusunda desteklemeye adanmıştır.

Üyesi

© Copyright 2023 Intercompany Solutions | Şartlar ve Koşullar | Kullanım Koşulları | Feragatname | Gizlilik Politikası | Mesafeli Satış Sözleşmesi | Site Haritası

menüşerit aşağıçapraz daire