Hesap Yönetimi

Hesap Yönetimi Yardım

GDPR işim için ne anlama geliyor?

GDPR nedir?

Genel Veri Koruma Yönetmeliği (GDPR), tüm AB vatandaşları ve sakinleri için veri koruma ve gizliliğe odaklanan bir Avrupa Birliği (AB) yasasıdır. GDPR, GoDaddy dahil olmak üzere şirketlerin AB’deki bireyler hakkındaki kişisel verileri nasıl işleyebileceğini düzenler. GDPR, 25 Mayıs 2018'de yürürlüğe girdi. GDPR'nin ne olduğu ve GoDaddy şirketinin GDPR ile ne kadar uyumlu olduğuna ilişkin daha ayrıntılı bir açıklama için lütfen Gizlilik Merkezi bilgilerimizi inceleyin.

GoDaddy bir hukuk firması değildir.

Bu belgenin size GDPR’nin ne olduğu ve sizin için ne anlam ifade edebileceği konusunda genel bir bakış sağlayacağını umuyoruz. Ancak, GoDaddy yasal tavsiye verme işi yapmamaktadır ve bu, GDPR’ye ilişkin kapsamlı bir kılavuz değildir. Her kurumsal durum farklıdır ve GDPR yasa olarak hayli karmaşıktır. Kurumsal işlemleriniz ve bunların GDPR’den (ve geçerli diğer gizlilik yasalarından) nasıl etkilenebileceğine ilişkin özel sorular için bir avukata danışmanızı önemle tavsiye ederiz.

İşinizin uzmanı değiliz

Her ne kadar GDPR uyumluluğunuzu nasıl ele almanız gerektiğine ilişkin net tavsiyeler verebilmek istesek de, haddi zatında bu mümkün değildir. Her işletme, farklı politikalar, protokoller, çalışanlar, konumlar vb. ile farklı şekilde çalışır. Bu nedenle, GoDaddy şirketinin GDPR’yle ilgili görevine ilişkin bir genel bakış vermek istiyoruz. Fakat tüzükte, bu belgede sizin için öne çıkardığımız bazı nüanslar var. Bunlara göre kendi özel durumunuza bağlı olarak kendi değerlendirmelerinizi yapmanız gerekecektir.

GDPR’yi farklı kılan nedir?

GDPR, tüm dünyadaki gizlilik yasalarından tamamen farklı değildir. GDPR’yi olağanüstü yüksek profilli hale getiren şey, AB’den AB’deki bireylere ilişkin kişisel verileri ele alan tüm dünyadaki işletmelere kadar uzanmasıdır. Ayrıca uyulmaması durumuna karşı yüksek para cezaları da (20 milyon EUR veya yıllık global gelirin %4’üne varan) içermektedir. Yani, daha fazla ülke, daha büyük para cezaları ve daha geniş kapsam medyada daha fazla yer alma anlamına gelmektedir. Bu, aralarında bir fark yok demek değildir. GDPR, etkilenen şirketlerin kendi müşterilerine belirli haklar vermesini (“unutulma hakkı” ve “veri taşınabilirliği hakkı” gibi) ve belirli kurumsal uyumluluk önlemlerin uygulamasını gerektirmektedir.

İşim etkileniyor mu?

İşinizin etkilenebilecek olmasının birkaç nedeni vardır. İşletmeniz Avrupa Ekonomik Alanı (AEA) içinde yer alıyorsa veya mal veya hizmet satarken burada faaliyet gösteriyorsa, lütfen okumaya devam edin. Bu bölgede faaliyet göstermiyor veya başka şekilde AB’deki bireyleri hedeflemiyorsanız, hazır olmanız muhtemeldir (tekrarlayalım, lütfen bunu onaylamak için kendi yasal danışmanınızla iletişime geçin).

GoDaddy ürün ve hizmetlerim GDPR uyumlu mu?

Hiçbir ürün veya hizmet tek başına "GDPR uyumlu" değildir. Ancak, özel kurumsal ihtiyaçlarınıza göre uygun şekilde yapılandırıldığında ve işinize özgü gerekli diğer önlemler, politikalar ve süreçlerle birlikte kullanıldığında (bunlardan bazıları aşağıda tanımlanmıştır), GDPR uyumlu şekilde kullanılmaları mümkündür. Kimse işletmenizi sizden daha iyi tanıyamaz. GoDaddy, işletmenizin GDPR ile uyumlu hale gelmesine yardımcı olacak araç ve kaynakları sunmayı amaçlar ve biz de size daima destek veririz ancak işletmeniz için geçerli olan yasalara uymanızı sağlayamayız.

GDPR uyumlu olmak ne demektir?

GDPR gerçekten kişisel bilgilerin gizliliğine odaklanmıştır. Kısacası, müşterilerinizin kişisel verilerinin uygun yollarla korunmasını ve kullanılmasını sağlamayı amaçlar. Ayrıntılara girmeden önce, kişisel verilerin ele alınmasıyla ilgili olduğundan, aşağıda ilgili sorumlulukları tanımlamamıza yardımcı olacak yasa kapsamındaki temel tanımlardan birkaçı yer almaktadır.

  • Veri Sahibi: Kişisel bilgileri sağlayan kişi. Bu, bir müşteri, çalışan veya web sitenizi ziyaret eden biri (sonuncu, “tanımlama bilgileri ve benzer teknolojileri” kullanarak kendileri hakkında bilgi topluyorsanız) olabilir.
  • Veri Denetleyici: Kişisel verilerin işlenme amaçlarını ve yollarını belirleyen taraf.
  • Veri İşleyici: Veri denetleyici adına kişisel verileri işleyen taraf.
  • İşleme: Kişisel veriler üzerinde gerçekleştirilen, toplama, kayıt, organizasyon, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, istişare, kullanım, iletimle bildirme, yayma veya kullanıma hazır hale getirme, hizalama ya da birleştirme, kısıtlama, silme veya yok etme gibi yollarla, otomatik araçlarla olsun veya olmasın, herhangi bir işlem veya işlem kümesi anlamına gelir.
  • Kişisel Veriler: “GDPR” yalnızca “kişisel veriler”; yani, özellikle bir tanımlayıcıya referansla doğrudan veya da dolaylı olarak tanımlanabilecek tanımlanabilir bir kişiyle ilgili tüm bilgiler için geçerlidir. Bu tanım, teknolojideki değişiklikleri ve kurumların kişiler hakkında bilgi toplama yollarını yansıtır şekilde, ad, kimlik numarası, konum verileri veya çevrimiçi tanımlayıcı dahil, çok çeşitli bireysel tanımlayıcıyı sağlamaktadır. Temelde, verileri bir kullanıcı, müşteri veya herhangi birini tanımlamak için kullanabiliyorsanız, bu kişisel veridir.

Bu tanımlar benim için ne anlama geliyor?

İlişkimizde, bazen biz Veri Denetleyici (size ürün ve hizmetlerimizi satma amacıyla adınız, adresiniz, e-posta adresiniz, telefonunuz ve kredi kartı bilgileriniz gibi bilgileri topladığımızda), bazen de siz Veri Denetleyici ve biz Veri İşleyici (örneğin barındırılan hizmetlerimizi ticari amaçla kullanmanız ve sizin için hizmetleri sağlayabilmemiz, yönetebilmemiz ve sürdürebilmemiz için bilgilerin sunucularımıza geçmesi) oluruz.

Yasa tam olarak ne gerektiriyor?

Aslında, GDPR resmi sürümü 173 İfade ve 99 Madde içeren 261 sayfa uzunluğunda ve (söylendiği gibi) karmaşık ve genellikle kapsamlı, üstü kapalı ve muğlaktır (neyse ki). Bunun temel prensiplerinden yalnızca birkaçını ele alacağız:

  • Şeffaflık

    Hangi verileri topluyorsunuz ve bunlar nasıl kullanılıyor? Bunu müşterilerinize kolay okunur ve kolayca anlaşılır şekilde açıklamanız GDPR dahil, tüm gizlilik yasalarının önemli bir prensibidir.

    Son dönemde çok sayıda “gizlilik politikamızı güncelledik” başlıklı e-posta aldınız, değil mi? Bu bir tesadüf değil. GDPR, şirketlerin kendi müşterilerinin bilgilerini nasıl topladıkları ve kullandıkları konusunda daha fazla şeffaflık ve netlik sağlamasını (bir başka deyişle daha fazla kullanıcı dostu olmayı) gerektiriyor. Gizlilik politikaları, müşterilerinize kendilerine ait kişisel verileri nasıl topladığınız ve kullandığınız ve nasıl sizinle iletişime geçebilecekleri veya sahip oldukları hakları kullanabilecekleri konularını net şekilde ve basit bir dille açıklayan, şeffaflık sunma mekanizmalarınızdır.

    GoDaddy, web sitelerine gizlilik politikaları ekleyebilmenizi sağlayan araçlar ve bazı durumlarda da, üzerinde çalışabileceğiniz şablonlar sağlar. Ancak, işletmenizin nasıl faaliyet gösterdiğini bilmediğimiz için, size tam uyumlu bir gizlilik politikası sağlamamız mümkün değildir.

  • Müşteri Denetimleri ve İzni Yönetme

    Şeffaf olmak harika bir başlangıçtır, ancak sattığınız mal ve hizmetleri sağlamak için kesinlikle gerekenlere ek olarak müşterilerinize ait bilgileri kullanıyorsanız (veya topluyorsanız), müşterilerinize ek kullanımlara yönelik izin verme seçeneği sunmuş ve daha sonra bu izni iptal edebileceklerini bilmelerini sağlamış olduğunuzdan da emin olmalısınız.

    Bu konudaki en bariz örnek müşterilerinizle iletişim kurmak için toplanan e-posta adresleri ve telefon numaralarının kullanılmasıdır (genelde bu tür iletişimleri/abonelikleri tercih etme/tercih etmeme bağlamında düşünürüz). Bu bilgiler müşterileriniz tarafından bir hesap oluşturma veya sizden ürün ya da hizmet satın alma sırasında sağlanabilir. Ancak, bu yaygın olarak “tanımlama bilgileri” (ve piksel, komut dosyası, vb. gibi benzer teknolojiler) diye bilinen araçlarla web sitelerinizi ziyaret eden bireyler hakkında bilgi toplamanızı da içerir. Muhakkak, web sitelerini ziyaret ederken “tanımlama bilgisi şeritleri” görmüşsünüzdür. Gizlilik politikası kullanımına benzer şekilde, bu tanımlama bilgisi şeritleri daha fazla şeffaflık sağlar. Bir tanımlama bilgisi şeridi görüntüleyerek, bireyler kendileri hakkında bilgi toplanırken hangi araçların kullanıldığı, bu kullanımı kabul etme veya reddetme ve/veya başka şekilde hangi tanımlama bilgilerinin kullanıma uygun olduğunu tek tek kontrol etme hakkında daha fazla bilgi sahibi olabilir.

    GDPR kapsamında, müşterilere bu tür toplama (ve sonrasında kullanım) işlemine izin verme hakkı verilmelidir ve uygun şekilde izin vermenin tek yolu söz konusu izni kullanma seçeneğini anlaması kolay, belirgin (belirli kullanıma yönelik) ve açık şekilde sunmanızdır. Önceden işaretlenmiş kutular, sessiz kalma veya eylemde bulunmama müşterinizin izin göstergesi olarak kullanılamaz. Örneğin, web sitenizde “Verilerinizi 3. taraf reklam verenlerle paylaşacağız,” şeklinde bir onay kutusu varsa, veri sahiplerinin kendi verilerinin işlenmesi tercihinde bulunmak üzere onay kutusunu önceden işaretleyemezsiniz. Onay kutusu, söz konusu işleme işlemi için AEA’daki veri sahipleri gönüllü olarak olumlu tercihte bulununcaya veya açıkça izin verinceye kadar işaretlenmemiş durumda olmalıdır.

    Son olarak, müşterilerinizin kendi kişisel verileri, iletişimleri ve söz konusu izni iptal etme hakkı dahil, izinleri üzerinde kontrol elde edebilmelerini sağlamalısınız.

  • Unutulma Hakkı

    Daha önce belirttiğimiz gibi, GDPR tüm dünyadaki diğer gizlilik yasalarına çok benzerdir. Bu, GDPR’yi eşsiz yapan, müşterilerinize yönelik bir haktır. GDPR bireylere “unutulma hakkı” (yasa kapsamında “Silinme Hakkı”) sağlamaktadır. Bu, kişisel verilerin artık toplanma veya başka şekilde işlenme amaçları için artık gerekli olmadığı durumlarda, müşterinin kendi kişisel verilerinin silinmesini (ve “unutulmalarını”) isteyebilmesi anlamına gelir.

    Hakların bulunduğu durumlarda, veri sahibinin kişisel verilerini sisteminizden silmelisiniz (finansal raporlama amaçlarınız veya yasal saklama ihtiyaçlarınız gibi, söz konusu verilerin saklanması gerektiğine ilişkin meşru kurumsal veya yasal nedenleriniz yoksa).

    Örneğin, bir müşteri sizinle iş yapmayı sonlandırmaya karar verirse; kendisi hakkında önceden topladığınız ve sakladığınız bilgileri artık saklamanızı istemeyebilir. İstisnalar ve karmaşık nüanslarla beraber, bu hakka ilişkin sınırlamalar olmakla birlikte, geçerli olduğu durumlarda, yapılan bu talebi nasıl yerine getireceğinizi ve buna ilişkin becerinizi dikkate almalısınız.

    GoDaddy, kendi sorumluluğu olarak, Veri İşleme Ek Sözleşmemizde açıkladığımız gibi ve buna uygun şekilde, böyle bir talepte bulunulduğunda sizden (Veri Denetleyici) gelen, sistemlerimizden müşterilerinizin bilgilerini kaldırma taleplerini yerine getirecektir.

  • Veri Taşınabilirliği Hakkı

    Veri taşınabilirliği hakkı, bireylerin kendi kişisel verilerini farklı hizmetlerdeki kendi amaçları doğrultusunda edinmelerini ve yeniden kullanmalarını sağlayan bir başka benzersiz GDPR hakkıdır. Bu hak, bireylerin kendi kişisel verilerini kullanılabilirliklerini etkilemeden, kolayca bir BT ortamından diğerine güvenli ve emniyetli bir şekilde taşımalarına, kopyalamalarına veya aktarmalarına olanak tanır.

    Bir etkinlik planlayıcısı olduğunuzu düşünelim. Müşteriniz kendisine ait tüm iletişim bilgilerini ve ilgili kişisel tercihlerini verdi, fakat daha sonra taşındı ve yeni bir etkinlik planlayıcısını işe almaya karar verdi. AEA içinde, yeni etkinlik planlayıcısı ile kolayca iş ilişkisi kurması için kendi kişisel verilerinin elektronik bir kopyasını alabiliyor olmalıdır. GoDaddy, müşterinizin kişisel verilerinin mevcut olduğu ve sağladığımız ürün veya hizmetlerden dışarı aktarılabildiği ölçüde size bu gibi taleplerde yardımcı olmak için vardır.

  • Tasarıma göre Gizlilik

    Tasarıma göre Gizlilik (veya varsayılana göre), esasında; kişisel verilerinizi aldığınızda, işlediğinizde, depoladığınızda veya kullandığınızda, gerekli korumaların öngörüldüğü ve eklendiği, ek başka adıma gerek olmadığı, yalnızca minimum ölçüde gerekli verilerin toplandığı, güvenle alındığı (örneğin, şifrelenmiş olarak), güvenli bir konumda depolandığı ve yalnızca geçerli yetkiye sahip uygun eğitim almış çalışanların bunlara erişebileceği anlamına gelir. Bu, kendilerine müşterinizin kişisel verilerini göndermeden önce üçüncü tarafların da gerekli korumalara sahip olmasını sağlamayı içerir.

    Bu esasında hasta olarak bir doktorun ofisini ziyaret etmekle aynı şeydir. Bir hasta olarak, sağlık kayıtlarınız, alınan notlar ve verilen tavsiyelerin güvenli ve gizli olarak saklanmasını istersiniz. Aynı ihtiyatı veri sahiplerine de uygulayın ve böylece sorun kalmasın.

    Ticari faaliyetlerinizdeki tüm incelemeler, gizlilik göz önünde tutularak GoDaddy ürün ve hizmetlerinin nasıl kullanılabileceğini içermelidir. Ürün ve hizmetlerimizin özel ihtiyaçlarınızı karşılayacak şekilde yapılandırılabileceğini ummakla birlikte, hizmetlerimizi kullanmanın geçerli gizlilik ve koruma yasalarına uymanız için yeterli olup olmadığını belirlemek yapacağınız bağımsız değerlendirmeye bağlıdır.

  • Veri İhlal Bildirimleri

    İstenmeyen bir kişisel veri ihlali durumunda, şirketler ihlalin farkına vardıktan sonra 72 saat içinde ve fazla gecikme olmaksızın kendi yetkili kurumlarını bilgilendirme sorumluluğuna sahiptir. Nasıl açıklama yapılacağı ve hangi adımların atılacağı konusunda daha fazla bilgi için lütfen avukatınıza danışın.

Peki bu bizi nereye getiriyor?

Önceden belirtildiği gibi, çoğu süre boyunca GoDaddy sizin Veri İşleyicinizdir. Verileri, sadece bizden satın aldığınız hizmetleri sağlamak için veya talimat verilen diğer şekillerde, gerekli olduğu kadar işleyeceğiz. Hizmetlerimizi, ürünlerinizi satabilmeniz için veri toplayacak ya da randevu bilgileri veya satış potansiyel müşterilerini toplayacak şekilde mi kullanıyorsunuz? Sorun değil. Verilerin, adınıza güvenli ve emniyetli şekilde işlenmesini sağlayacağız.

Veri Denetleyici olarak, verilerin nasıl kullanılacağını ve saklanacağını siz kontrol edersiniz ve bunları yalnızca bizim şartlarımıza göre işleriz. veri işleme eki sizin adınıza hizmetlerin sağlanması ve sürdürülmesi için . Bu, verilerinizi 3. taraflarla nasıl paylaştığınız ve birinin veri sahibinin bilgilerine ne kadar kolay erişebileceği dahil olmak üzere dahili politikalarınıza ve çalışanların kayıtlara erişimine çok dikkat etmeniz gerektiği anlamına gelir.

Yukarıdaki temel noktalarda görebileceğiniz gibi, GDPR (ve diğer gizlilik yasaları) işletmemizi daha başarılı hale getirmek amacıyla topladığımız ve kullandığımız verilerin uygun şekilde güvenli ve korumalı olmalarını sağlamakla ilgilidir.