• Anasayfa
  • Nesne
  • 2021'de GDPR'nin Durumu: Önemli Güncellemeler ve Bunların Anlamı

2021'de GDPR'nin Durumu: Önemli Güncellemeler ve Bunların Anlamı

Yayınlanan: 2022-03-10
Kısa özet ↬ Dijital uygulayıcılar olarak GDPR, profesyonel ve kişisel hayatımızın her yönünü etkiledi. İster Instagram bağımlısı olun, ister ailenize WhatsApp'tan mesaj atın, ister Etsy'den ürün alın, ister Google bilgilerinden kimse 2018'de getirilen kurallardan kaçmadı.

İster Wisconsin'de bir web tasarım şirketi, ister Malta'da bir pazarlamacı olun, ürünler ve hizmetler GDPR göz önünde bulundurularak tasarlandığından AB direktifleri neredeyse her dijital profesyoneli etkilemiştir. GDPR'nin geniş kapsamlı etkileri, yalnızca verilerin nasıl işlenmesi gerektiğini, ürünlerin nasıl oluşturulması gerektiğini ve verilerin kuruluşlar içinde ve arasında nasıl güvenli bir şekilde aktarıldığını etkilemez. Avrupa ve Amerika arasında olduğu gibi uluslararası veri aktarım anlaşmalarını tanımlar.

Dünyanın en parlak dijital fütüristlerinden biri olan Kevin Kelly, 'Teknolojinin doğa kadar büyük bir güç olduğunu' iddia ediyor. Bununla kastettiği, kullanıcı verilerinin ve bilgi teknolojisinin, dilin icadından bu yana insanlık tarihindeki en derin dönemlerden birine neden olduğudur. Hükümetler ve çok uluslu teknoloji şirketleri interneti kontrol etmek için boğuşurken neler olduğuna bir bakın.

Yalnızca geçen hafta, Avustralya hükümeti platform sahiplerini platformlarında paylaşılan içerik için yayıncılara ödeme yapmaya zorlamaya başladığında, Facebook Avustralya hükümetinden büyük bir tepkiyle Avustralyalı kullanıcılara haberleri engellemeye karar verdi.

Ve bu, hükümet ve teknolojinin buluştuğu kavşaktaki önceki tartışmalara (ABD Capitol isyanının organizasyonu, Cambridge Analytica skandalı) ek olarak.

Bu makalede, GDPR'nin 2018'den bu yana nasıl geliştiğine bakacağız. AB'den bazı güncellemeleri, bazı önemli gelişmeleri ve GDPR'nin nerelerde gelişebileceğini inceleyeceğiz. Tasarımcılar ve geliştiriciler olarak bunun bizim için ne anlama geldiğini keşfedeceğiz. Bunun hem AB içindeki hem de dışındaki şirketler için ne anlama geldiğine bakacağız.

Bir sonraki makalede, çerez iznine ve pazarlamacıların büyük ölçüde Google Analytics çerez verilerine bağımlı olduğu ancak düzenlemelere uyması gereken paradoksa odaklanacağız. Ardından, üçüncü taraf çerezlerden uzaklaşmaya başladığımızda birinci taraf reklam takibine derinlemesine dalacağız.

  • 1. Bölüm: GDPR, Önemli Güncellemeler ve Bunların Anlamı
  • Bölüm 2: Tasarımcılar ve Geliştiriciler için Çerez İzni

GDPR'nin Hızlı Bir Özeti

GDPR'nin ne olduğunu kendimize hatırlatarak başlayalım. GDPR, 25 Mayıs 2018'de AB içinde yasalaştı. 7 temel ilkeye dayanmaktadır:

  1. Hukuka uygunluk, adalet ve şeffaflık
    İnsanların verilerini neyi, nasıl ve neden işlediğinizi anlamaları için verileri işlemeniz gerekir.
  2. Amaç sınırlaması
    Verileri yalnızca açık, belirlenmiş ve meşru amaçlarla toplamalısınız. Daha sonra orijinal amaçlarınıza uygun olmayan şekillerde işleyemezsiniz.
  3. Veri minimizasyonu
    Yalnızca ihtiyacınız olan verileri toplamalısınız.
  4. Kesinlik
    Verileriniz doğru ve güncel olmalıdır. Hatalı veriler silinmeli veya düzeltilmelidir.
  5. Depolama sınırlaması
    Veriler bireylere bağlanabiliyorsa, yalnızca belirttiğiniz amaçları gerçekleştirmek için ihtiyaç duyduğunuz süre boyunca saklayabilirsiniz. (Bilimsel, istatistiksel veya tarihsel araştırma kullanımı için uyarılar.)
  6. Bütünlük ve gizlilik (yani güvenlik)
    Elinizde bulunan kişisel verilerin güvenli bir şekilde işlendiğinden emin olmalısınız. Onu yetkisiz veya yasa dışı işlemeden ve kazara kayıp, imha veya hasara karşı korumalısınız.
  7. Hesap verebilirlik
    Artık sahip olduğunuz verilerden siz sorumlusunuz ve GDPR'ye uygunluğunuzu gösterebilmelisiniz.
GDPR'nin yedi ilkesini gösteren diyagram: yasallık, bütünlük, depolama ve amaç sınırlamaları, veri minimizasyonu ve doğruluğu ve hesap verebilirlik - şeffaflık, gizlilik ve kontrollerle kaplanmıştır
GDPR ilkeleri şeffaflık, gizlilik ve kullanıcı kontrolüne dayanmaktadır. (İmaj kredisi: Cyber-Duck) (Geniş önizleme)

Bazı Tanımlar

  • ABAD
    Avrupa Birliği Adalet Divanı. Bu mahkemenin kararları GDPR gibi AB yasalarına açıklık getiriyor.
  • DPA'lar
    Ulusal Veri Koruma Otoriteleri. Her AB ülkesinde bir tane var. GDPR, bu kuruluşlar tarafından ulusal düzeyde uygulanır ve para cezaları verilir. Birleşik Krallık'taki karşılığı Bilgi Komiserliği Ofisi'dir (ICO). Amerika Birleşik Devletleri'nde, GDPR tarzı veri gizliliği, büyük ölçüde her eyalet tarafından yasalaştırılır.
  • Avrupa Komisyonu
    Avrupa Birliği'nin yürütme organı (esas olarak AB'nin kamu hizmeti). Avrupa Komisyonu, GDPR dahil olmak üzere mevzuat taslağı hazırlar.
  • GDPR
    2018 Genel Veri Koruma Yönetmeliği.

AB'den Önemli Güncellemeler

GDPR, Mayıs 2018'den bu yana olduğu yerde durmadı. Yürürlüğe girmesinden bu yana neler olduğuna dair kısa bir özet.

AB ve Üye Devletleri GDPR'yi Nasıl Uyguladı?

Avrupa Komisyonu, GDPR'nin AB genelinde neredeyse tamamen uygulandığını bildiriyor, ancak bazı ülkeler - Slovenya'nın adını kontrol ediyor - ayaklarını sürüklüyor. Ancak, uygulama derinliği değişir. AB ayrıca, kendi görüşüne göre üye ülkelerinin yeni yetkilerini adil bir şekilde kullandığını söylüyor.

Bununla birlikte, bazı ayrılıkların ve parçalanmaların ortaya çıktığına dair endişelerini de dile getirdi. GDPR, yalnızca üye devletler uyumluysa AB'nin tek pazarında etkili bir şekilde çalışabilir. Kanunlar birbirinden ayrılırsa, suyu bulandırır.

AB GDPR'nin Nasıl Gelişmesini İstiyor?

AB'nin bireylerin GDPR kapsamında haklarını kullanmalarının daha kolay olmasını istediğini biliyoruz. Bu, sınır ötesi işbirliği ve toplu davalar anlamına gelir. Bankacılık ve telekomünikasyonun ötesinde tüketiciler için veri taşınabilirliğini görmek istiyor.

Ayrıca, küçük ve orta ölçekli işletmelerin ( KOBİ'ler ) GDPR'ye uymasını kolaylaştırmak istiyor. Bunun, AB'nin onlar için kuralları esnetmeye hevesli olmadığı için, KOBİ'lerin sözleşmelere kopyalayıp/yapıştırabileceği esasen şablonlu yasal hükümler gibi daha standart sözleşme maddeleri gibi ekstra destek ve araçlar biçiminde gelmesi muhtemeldir.

Büyük Gelişme #1: 'Ortak Kontrolör'ün Beklenmedik Bir Şekilde Geniş Tanımı

Doğru, işte GDPR'nin yasalaşmasından bu yana ilk büyük değişiklik. Facebook'u ilgilendiren iki test davasında, Avrupa Birliği Adalet Divanı, 'ortak kontrolör'ün beklenenden çok daha geniş bir yorumunu tanımladı.

Ortak denetleyici durumu, iki veya daha fazla denetleyicinin her ikisinin de GDPR şartlarını karşılama sorumluluğu olduğunda ortaya çıkar. (İşte ortak kontrolörler hakkında ICO'dan iyi bir açıklama.) Esasen:

  • Müşteri verilerini işlerken, GDPR ile uyumlu olmanız için her adımı kimin yöneteceğine ortak kontrolör(ler)inizle birlikte karar verirsiniz.
  • Ancak, tüm sürecin uyumlu olmasını sağlamak için hepinizin sorumluluğu vardır. Her biriniz, herhangi bir şikayeti ele alan ülkedeki veri koruma makamına karşı tamamen sorumlusunuz.
  • Bir kişi, ortak kontrolörlerin her birine karşı şikayette bulunabilir.
  • Hasara neden olan olayla hiçbir bağlantınız olmadığını kanıtlamadığınız sürece, verilen herhangi bir hasardan hepiniz sorumlusunuz.
  • Bir kişi herhangi bir ortak kontrolörden tazminat talep edebilir. Bu tazminatın bir kısmını kontrolör arkadaşlarınızdan geri alabilirsiniz.

İlk Facebook davasında, ABAD, bir Facebook hayran sayfası işleten bir şirketin Facebook ile birlikte ortak bir denetleyici olarak sayıldığını doğruladı. İkincisinde, ABAD, web sitesine bir Facebook Beğen düğmesi yerleştiren bir şirketin sosyal ağ ile ortak denetleyici statüsüne sahip olduğunu da doğruladı.

Bu vakalar, esasen sosyal yayıncıları, web sitesi operatörlerini ve hayran sayfası moderatörlerini Facebook gibi platformların yanı sıra kullanıcı verilerinden sorumlu kıldığı için gizlilik topluluğu aracılığıyla şok dalgaları gönderdi.

Ancak ABAD, paylaşılan sorumluluğun eşit sorumluluk anlamına gelmediğini de açıkladı. Her iki durumda da sorumluluk öncelikle Facebook'taydı - verilere yalnızca Facebook erişebildi ve yalnızca Facebook bunları silebilirdi. Dolayısıyla bu kararın etkisi ilk bakışta göründüğünden daha az şiddetli olabilir - ancak yine de kritik derecede önemlidir.

Almanya'nın 2020 AB başkanlığının web sitesi gibi bazı sitelerin, siz özel olarak katılmayı seçene kadar varsayılan olarak gömülü sosyal içeriği engellemesinin nedeni bu olabilir:

eu2020.de'nin, üçüncü taraf izleme açılana kadar engellenen sosyal besleme içeriğini gösteren ekran görüntüsü
Bazı siteler, varsayılan olarak sitelerinde gömülü sosyal yayınların görünmesini engellemeye başlıyor ve kullanıcılara izleme ile katılma seçeneği sunuyor. (Büyük önizleme)

Büyük Gelişme #2: Güle güle Gizlilik Kalkanı, Merhaba CPRA

İkinci büyük değişiklik daha öngörülebilirdi: Amerikan işletmelerinin Avrupa müşteri verilerini işlemesini kolaylaştıran mekanizma olan Privacy Shield , mahkemeler tarafından reddedildi.

İşte neden.

AB, vatandaşlarının kişisel verilerini korumak istiyor. Bununla birlikte, uluslararası ticareti ve güvenlik gibi alanlarda sınır ötesi işbirliğini de teşvik etmek istiyor.

AB kendisini - oldukça haklı olarak - veri korumasında öncü olarak görüyor. Bu nedenle, blokla ticaret yapmak isteyen ülkeleri veri gizliliği standartlarına uymaya teşvik etmek için siyasi gücünü kullanıyor.

Amerika Birleşik Devletleri'ne girin. Veri gizliliği konusundaki Avrupa ve Amerikan felsefeleri taban tabana zıttır . (Özünde, Avrupa görüşü, açık izin vermediğiniz sürece kişisel verilerin özel olduğu yönündedir. Amerikan görüşü, verilerinizin gizli tutulmasını açıkça talep etmediğiniz sürece, verilerinizin herkese açık olduğu yönündedir.) Ancak, dünyanın en büyük iki tüketici pazarı olarak, onların bunu yapması gerekir. Ticaret. Böylece AB ve ABD, Gizlilik Kalkanı'nı geliştirdi.

Gizlilik Kalkanı, ABD şirketlerinin AB vatandaşlarının verilerini, bu şirketler daha yüksek gizlilik standartlarına uyduğu sürece işlemesini sağlamak için tasarlanmıştır.

Ancak ABD yasalarına göre, ABD hükümeti bu verileri hala izleyebilir. Avusturyalı gizlilik savunucusu Max Schrems tarafından getirilen bir davada buna itiraz edildi. ABAD onun tarafını tuttu: Gizlilik Kalkanı yıkıldı ve Gizlilik Kalkanı kullanan 5.300 Amerikan KOBİ'sine AB'nin öngördüğü Standart Sözleşme Maddelerini benimsemekten başka seçenek verilmedi.

Açıkçası, Gizlilik Kalkanı'nın değiştirilmesi herkesin çıkarınadır - ve olacaktır. Ancak uzmanlar, Avrupa ve Amerika'nın mahremiyete yönelik yaklaşımları esasen uyumsuz olduğu için, yerinin değiştirilmesinin muhtemelen zamanı geldiğinde tekrar reddedileceğini söylüyor.

Bu arada, Kaliforniya'da, 2018'in GDPR'den ilham alan Kaliforniya Tüketici Gizliliği Yasası (CCPA), Kaliforniya Gizlilik Hakları Yasası'nın (CPRA) kabul edildiği Kasım 2020'de güçlendirildi.

Kaliforniya Tüketici Gizliliği Yasası (CCPA)

Ocak 2020'de yürürlüğe giren CCPA, Kaliforniya vatandaşlarına verilerinin satılmasından vazgeçme hakkı veriyor. Ayrıca toplanan verilerin ifşa edilmesini isteyebilir ve bu verilerin silinmesini isteyebilirler. GDPR'den farklı olarak CCPA yalnızca ticari şirketler için geçerlidir:

  • Yılda 50.000'den fazla Kaliforniya sakininin verilerini işleyen VEYA
  • Yılda 25 milyon dolardan fazla brüt gelir elde edenler VEYA
  • Yıllık gelirlerinin yarısından fazlasını Kaliforniya'da ikamet edenlerin kişisel verilerinin satışından elde edenler

Kaliforniya Gizlilik Hakları Yasası (CPRA)

Ocak 2023'te yürürlüğe giren CPRA, CCPA'nın ötesine geçiyor . Anahtar noktaları şunları içerir:

  • Yılda 100.000 California sakininin verilerini işleyen şirketler için çıtayı yükseltiyor
  • Kaliforniyalıların ırk, din, cinsel yönelim ve sağlık verileri ve devlet kimliği gibi hassas verilerine daha fazla koruma sağlar
  • Küçüklerin verilerinin ihlali için para cezalarını üç katına çıkarır
  • Kaliforniyalılara verilerinin düzeltilmesini talep etme hakkı verir.
  • Şirketleri CPRA soruşturmalarına yardımcı olmaya zorlar
  • Ve CPRA'yı uygulamak için bir California Gizlilik Koruma Ajansı kurar
CPRA'yı özetleyen grafik
California, 2023'te çıkacak olan CPRA ile gizlilik mevzuatını sıkılaştırıyor. (Geniş önizleme)

Diğer eyaletlerde gizlilik yasalarına yönelik daha fazla baskı yapılıyor ve bunlar birlikte yeni Biden yönetimi altında federal gizlilik önlemlerine duyulan ihtiyacı güçlendirebilir.

Büyük Geliştirme #3: Çerez İzni

Mayıs 2020'de AB, çerez izni için iki önemli nokta da dahil olmak üzere birkaç noktayı netleştirmek için GDPR kılavuzunu güncelledi:

  • Çerez duvarları, kullanıcılara gerçek bir seçenek sunmaz, çünkü çerezleri reddederseniz içeriğe erişiminiz engellenir. Çerez duvarlarının kullanılmaması gerektiğini onaylar.
  • Web içeriğini kaydırmak veya kaydırmak , zımni onay anlamına gelmez . AB, rızanın açık olması gerektiğini yineler.

Önümüzdeki hafta ikinci makalede bu konuya daha derinden gireceğim.

Reklam izlemenin varsayılan olarak açık olduğu Cyber-Duck çerez bildirimi
AB, çerez izniyle ilgili kılavuzunu güncelledi. (Büyük önizleme)

Büyük Gelişme #4: Google ve Apple, Üçüncü Taraf Takipten Ayrılmaya Başladı

Büyük dijital oyuncular GDPR'yi nasıl karşılayacaklarını ve gizlilik mevzuatını nasıl kendi avantajlarına çevireceklerini keşfettikçe, bazıları şimdiden ateş altında kaldı.

Hem Google hem de Apple, reklam teknolojisi şirketlerinden ve yayıncılardan gelen şikayetlerin ardından antitröst davalarıyla karşı karşıya .

Her iki durumda da şikayetçiler, büyük teknoloji şirketlerinin hakim pazar konumlarını istismar ettiğini söylüyor.

Yine, bir dahaki sefere bu konuda daha fazla.

Atlamadan sonra daha fazlası! Aşağıdan okumaya devam edin ↓

Büyük Gelişme #5: Bu Yoldan Gelen Büyük GDPR Cezaları

Elbette birçok kuruluş, düzenleyicilerin uygulayabileceği para cezalarından korktukları için GDPR'ye uyum sağlamak için atladı. Bu para cezaları gelmeye başladı:

Fransız veri düzenleyicisi, Google'ın verilerini nasıl ve neden topladığı konusunda kullanıcıların "yeterince bilgilendirilmediğini" söyleyerek "şeffaflık eksikliği, yetersiz bilgi ve reklam kişiselleştirme konusunda geçerli onay eksikliği" nedeniyle Google'a 50 milyon Euro para cezası verdi.

İngiltere'deki eşdeğeri ICO, 339 milyon misafir kaydını güvende tutmadığı için ABD'li otel holdingi Marriott International Inc.'e 18,4 milyon sterlin para cezası verdi. Marriott'un 2016'da satın aldığı Starwood Hotels and Resorts Worldwide, Inc.'e yapılan 2014 siber saldırısı 2018'e kadar keşfedilmedi.

İngiltere'nin ICO'su ayrıca, 400.000 müşterinin kişisel ve kredi kartı verilerinin 2018 veri ihlali için British Airways'e rekor 20 milyon sterlin para cezası verdi.

Bir de kişisel favorim var, H&M tarafından 35 milyon avroluk bir cezaya yol açan şok edici bir çalışan güveni ihlali.

Yani bugün geldiğimiz nokta bu.

Bu sizin için ne anlama geliyor?

Tasarımcılar ve geliştiriciler olarak GDPR, tasarladığımız ve ürettiğimiz ürünlerde ve veriler için tasarlama şeklimizde büyük bir etkiye sahiptir ve olmaya devam edecektir.

İşte Tasarımcılar Olarak Bilmemiz Gerekenler

  • GDPR sizin için kritik öneme sahiptir çünkü kullanıcıların verilerini paylaştığı noktaları, hangi verilerin toplandığını ve nasıl işlendiğini siz tasarlayacaksınız .
  • Tasarıma Göre Gizlilik en iyi uygulamalarını takip edin. Tekerleği yeniden icat etmeye çalışmayın - uyumlu bir tanımlama bilgisi afişi oluşturduysanız, kanıtlanmış tasarım modelinizi kullanın.
  • Tasarımların GDPR'yi karşıladığından ve uygulanabildiğinden emin olmak için uyumluluk ve geliştirme ekiplerinizle birlikte çalışın. Yalnızca ihtiyacınız olan verileri isteyin.
  • Son olarak, kullanıcılarınıza hangi verileri rahatça paylaştıklarını ve bunları nasıl kullanmanızı istediklerini sorun. Ürpertici bulurlarsa, yaklaşımınızı tekrar gözden geçirin.

İşte Geliştiriciler Olarak Bilmemiz Gerekenler

  • Veri işlemeyi , paylaşmayı ve entegrasyonları etkinleştirdiğiniz için GDPR sizin için kritik öneme sahiptir.
  • GDPR ile ilgili genel bir kural olarak, erişim ihtiyacı yaklaşımını benimseyin . Her şeyi erişim olmadan uygulamaya başlayın, ardından ekibinize yalnızca gerektiği zaman ve gerektiği zaman verilere erişim izni verin (ör. geliştiricilere Google Analytics konsoluna erişim izni verin). Kullandıkça denetleyin ve belgeleyin.
  • Tasarımla gizlilik ve tasarımla güvenlik ilkelerini takip edin. Altyapıyı uygulamak için sağlam, güvenli şablonlar çok önemlidir.
  • Çerez onayı/izleme konuşmaları gibi teknik hususlara önceden dahil olduğunuzdan emin olun, böylece karar verilenler uygulanabilir.
  • Süreç eşlemesi , verilerin işletmenin farklı bölümleriyle nerede paylaşıldığını gösterir.
  • Otomasyon, insan hatasını azaltan güvenli veri işleme sunar. Ayrıca yanlış kişilerin verilere erişmesini önlemeye yardımcı olur.
  • GDPR kontrol listeleri ve elbette çalışan kitaplar, sürecinizi yönetmenize yardımcı olacaktır. Yine, giderken denetleyin ve belgeleyin.

Şimdi GDPR'nin yakın gelecekte nasıl gelişeceğini görelim. Üç alana odaklanacağız.

GDPR'nin Hızla Geliştiği Üç Alan

1. AB GDPR'yi Nasıl Uygular?

Öncelikle, GDPR'nin yasama ortamına nasıl daha fazla dahil edileceğini görelim.

AB , üye devletlerini uyumlu tutmak istiyor çünkü bu, sınır ötesi davaları ve uluslararası işbirliğini kolaylaştıracak. Bu nedenle, ülkelerin GDPR'den ne sapmaları ne de GSYİH'yı aşmaları gerektiğini pekiştirdi. Bazı üye ülkeler, dediğim gibi, düzenlemeye sözde bağlılık gösteriyorlar. Diğerleri GDPR standartlarını aşmak istiyor.

Uyum sağlamaları karşılığında AB , uyumu zorunlu kılacak, toplu davayı ve daha ucuz sınır ötesi davaları mümkün kılmak için çalışacak ve ayrıca AB dışında mahremiyeti ve tutarlı standartları teşvik edecektir. KOBİ'ler için ekstra destek ve araçlara ek olarak, tasarım gereği güvenlik ve veri koruması için sertifika da görebiliriz.

Son olarak, bu Silikon Vadisi'nde bazı kaşları yükseltebilir: AB, uyumu teşvik etmek için veri işleme yasaklarını düşünebileceğini ima etti. 50 milyon avroluk cezalar Google ve arkadaşları için dünyanın sonu değil. Ancak yaramaz adımda zaman aşımı - ve bunun sonucunda ortaya çıkan kötü PR - çok farklı bir şeydir.

2. GDPR İnovasyonla Nasıl Çalışır?

GDPR, teknolojiden bağımsız olacak ve inovasyonu engellemek değil, desteklemek üzere tasarlanmıştır. Bu kesinlikle son 12 ayda test edildi ve AB, mevzuatının işe yaradığının kanıtı olarak COVID-19 uygulamalarının hızla kullanıma sunulmasına işaret ediyor.

Hassas veri kategorileri (sağlık ve bilimsel araştırma) için davranış kurallarını görmeyi bekleyebiliriz. Bunlar memnuniyetle karşılanacaktır.

Ancak, yenilikçileri yakından izliyorlar. AB, video, IoT cihazları ve blok zincirindeki veri gizliliği konusundaki endişelerini dile getirdi. Özellikle yüz (ve muhtemelen ses) tanıma ve AI'daki gelişmelerle ilgileniyorlar.

En önemlisi, Komisyon, “çok uluslu teknoloji şirketleri”, “büyük dijital platformlar” ve “çevrimiçi reklamcılık ve mikro hedefleme” olarak adlandırdığı şeylerden derinden endişe duymaktadır. Evet, bir kez daha sana, Facebook'a, Amazon'a, Google'a ve arkadaşlarına bakıyor.

3. AB, AB'nin Ötesinde GDPR Standartlarını Nasıl Teşvik Ediyor?

Dijital ekonomimiz küreseldir, bu nedenle GDPR'nin etkisi, yalnızca uyumluluk açısından değil, AB sınırlarının ötesine geçer. AB, dünya çapında veri koruma mevzuatı için çıtayı belirliyor. Kaliforniya'nın CCPA'sının ötesinde, bkz. Brezilya'nın LGPD'si, artı Kanada, Avustralya, Hindistan ve bir dizi Amerikan eyaletindeki gelişmeler.

Elbette, diğer ülkeler ve ticaret bloklarının kendi standartlarına uyması AB'nin çıkarınadır. Bu nedenle, GDPR'yi çeşitli yollarla tanıtıyor :

  • Japonya ve kısaca Güney Kore ile “karşılıklı yeterlilik kararları” yoluyla
  • Örneğin Yeni Zelanda, Avustralya, İngiltere ile ikili ticaret anlaşmalarına dahil edilmiştir.
  • OECD, ASEAN, G7 ve G20 gibi forumlar aracılığıyla
  • AB ve uluslararası düzenleyiciler için Veri Koruma Akademisi aracılığıyla

Güvenilir veri akışları yoluyla yeniliği güçlendirmeye ve kanun uygulayıcı makamlar ile özel operatörler arasında uluslararası işbirliğini mümkün kılmaya özellikle heveslidir.

AB, veri korumasında dünyaya liderlik ediyor. Nereye giderse, diğerleri onu takip edecek. Bu nedenle, bir AB izleyicisi için tasarım yapmıyor/geliştirmiyor olsanız bile, neler olup bittiğinin farkında olmanız gerekir.

Tüm bunlar AB'deki Şirketler İçin Ne Anlama Geliyor?

AB'de faaliyet gösteren şirketlerin GDPR'ye uyması veya para cezasına çarptırılma riskine sahip olması gerekir. Gördüğümüz gibi, bu cezalar oldukça ağır olabilir. Bu nedenle, GDPR'nin 7 ilkesine ve ulusal Veri Koruma Kurumunuzun özel rehberliğine bağlı kaldığınızı kanıtlayabilmeniz gerekir.

Ancak, bu göründüğü kadar kolay değildir ve bazı durumlarda riskinizi değerlendirmeyi seçebilirsiniz. Bir dahaki sefere size bunun bir örneğini vereceğim.

Bu, AB Dışındaki Şirketler İçin Ne Anlama Geliyor?

AB dışındaki şirketler için sonuçlar, AB'den kişisel verileri işlemeleri durumunda AB ülkeleri için olanlarla tamamen aynıdır . Bunun nedeni, GDPR'nin AB'de yerleşik kişilerin kişisel verileri için geçerli olmasıdır. Bunu işlemek istiyorsanız, örneğin AB'deki müşterilere satış yapmak istiyorsanız, kurallara uymanız gerekir. Aksi takdirde, Facebook ve Google gibi para cezasına çarptırılma riskiniz vardır.

Bu şu şekilde uygulanır : Birçok çok uluslu şirketin yaptığı gibi AB'de varlığınız varsa ve GDPR cezası ödemezseniz, AB varlıklarınıza el konulabilir. Bir varlığınız yoksa, GDPR uyarınca AB'de bir temsilci atamakla yükümlüsünüz. Herhangi bir ceza, bu temsilci aracılığıyla tahakkuk ettirilecektir. Alternatif olarak, karmaşık ve pahalı bir uluslararası dava ile karşı karşıya kalabilirsiniz.

Ve işte burada herkes için karmaşık hale geliyor:

Müşteri tabanınız AB'deki kişileri ve Kaliforniya Eyaleti gibi gizlilik yasalarına sahip başka yerlerin vatandaşlarını içeriyorsa, hem Kaliforniya Tüketici Gizliliği Yasası'na (CCPA) hem de GDPR'ye uymanız gerekir. Bu mevzuat grupları genel olarak uyumludur - ancak eşleşmiyorlar.

Örneğin çerezleri alın. GDPR uyarınca, bir kullanıcının cihazına çerez yerleştirmeden önce sitenizin çalışması için kesinlikle gerekli olanları engellemeden önce aktif izin almanız gerekir .

Ancak CCPA uyarınca, hangi verileri topladığınızı açıklamalı ve müşterinizin verilerini satma izninizi reddetmesine izin vermelisiniz. Ama onu toplayabileceğini aktif olarak kabul etmeleri gerekmiyor.

Bu nedenle AB, küresel uyumluluğu basitleştirmek için uluslararası standartlar için baskı yapıyor.

NB Amerika Birleşik Devletleri'ndeyseniz ve Gizlilik Kalkanı'nın değiştirilmesini hevesle bekliyorsanız, bunun yerine Microsoft'un kitabından bir sayfa almak isteyebilirsiniz - onlar ve diğerleri, etkinleştirmek için herhangi bir ikili mekanizmaya bağımlı olmak yerine GDPR'ye uyacaklarını belirttiler. veri işleme.

Web Tasarımcıları ve Geliştiricileri GDPR'den Hangi Dersleri Alabilir?

Gizlilik düzenlemesi kalıcıdır ve tüm önceliklerimizi ve iş akışlarımızı etkiler. Müşteri verileriyle çalışırken hatırlamanız gereken altı ders:

  1. GDPR'ye uymak için hızlı koşmamız gerekiyordu. Şimdi bir maraton.
    GDPR'nin düzenlemeyi amaçladığı teknolojinin yanı sıra gelişmeye devam edeceğini biliyoruz. Bu, bizden taleplerin aynı kalmayacağı anlamına geliyor. Sadece bu değil, aynı zamanda GDPR, dünya çapında benzer - ancak aynı olmayan - yasalara ilham verdi. Bu yasal gereklilikler gelişmeye devam edecek şekilde ayarlanmıştır.
  2. Uyum rekabet avantajı sağlar.
    İlk büyük GDPR cezaları göz yaşartıcı olsa da, aslında çoğu kişinin en zararlı olduğunu söylediği olumsuz tanıtım. Büyük bir veri sızıntısından kimler yararlanır? Şirketin rakipleri. Öte yandan, tasarım ve geliştirme süreçlerinizi güçlendirirken GDPR uyumluluğunu da dahil ederseniz, düzenlemeler geliştikçe daha iyi uyum sağlayabilirsiniz.
  3. GDPR uyumluluğu ve daha iyi COVID-19 sonuçları, kullanıcı merkezli tasarımla bağlantılıdır.
    Dijital dönüşümlerine başlayan şirketlerin COVID-19 krizine daha iyi uyum sağlayabildiğini biliyoruz. Kullanıcı merkezli tasarım da GDPR'yi destekler. Müşteri verilerinin değerli olduğu ve korunması gerektiği fikriyle uyumlu ürünler oluşturmak için ihtiyaç duyduğunuz sürece ve müşteri odağına sahiptir. Bu, ürünlerinizi gelecekteki mevzuata göre geliştirmeyi kolaylaştıracaktır.
  4. Dijital ürünlerinize uyumluluk oluşturabilirsiniz.
    Tasarım gereği gizlilik kalıcıdır. Hizmet tasarımını zaten kullanıyorsanız, müşteri bilgilerini hizmet planlarınıza veri katmanı olarak dahil edebilirsiniz. Eğer yapmazsan, şimdi başlamak için harika bir zaman. Verilerin toplandığı, işlendiği ve depolandığı yerlerin haritalanması, potansiyel ihlallerin meydana gelebileceği zayıf noktaları vurgular. Otomatik uyumluluk araçları, şirketlerin üzerindeki yükün azaltılmasına yardımcı olacak ve ayrıca veri işlemeyi daha güvenli hale getirme potansiyeline sahip.
  5. GDPR, doğru yaparsanız yeniliği destekler.
    Bazıları, GDPR'nin veri akışlarını kısıtlayarak ve özellikle şirketleri verilerle yenilik yapmaktan caydırarak yeniliği boğduğu konusunda uyarıyor. Diğerleri, güvenli ve verilerin korunduğu bir şekilde blockchain, IoT ve AI ile yenilik yapma fırsatlarına işaret ediyor. Doğrusu? Evet, elbette yenilik yapabilir ve GDPR uyumlu olabilirsiniz. Ancak yapay zekada etik hayati önem taşır: müşterilerinize ve onların verilerine saygı göstermelisiniz.
  6. Üçüncü taraf ortaklarınıza göz kulak olun.
    Bu, yukarıdaki ortak kontrolörler kararına kadar gider. Şirketler artık müşteri verilerinin sorumluluğunu, bunları işleyen üçüncü taraflarla paylaşıyor ve bu işlemin belgelenmesi gerekiyor. Şu andan itibaren şirketler için üçüncü taraf kontrolleri, izleme ve sözleşme yükümlülüklerinin bir öncelik olmasını bekleyebilirsiniz.

İşte GDPR Nasıl Gelişebilir?

Vay canına. Bu kabul edilecek çok şey var. Ama ileriye baktığımızda, bahse girerim burada değişiklik göreceğiz.

  1. GDPR, test senaryolarından ve eGizlilik Yönetmeliği de dahil olmak üzere potansiyel olarak daha fazla mevzuattan gelen netlikle gelişmeye devam edecektir .
  2. AB, veri gizliliği yasasının uluslararası kabulünü teşvik etmeye devam edecektir. Daha fazla ülkenin, genellikle ticaret ve güvenlik anlaşmalarına dayanan veri korumasını benimsediğini göreceğiz.
  3. Şanslıysak, özellikle ABD federal düzeyde veri gizliliği uygularsa , veri gizliliği mevzuatının uluslararası düzeyde yakınsadığını görmeye başlayabiliriz.
  4. Ancak, mahremiyete karşıt yaklaşımları nedeniyle AB ve ABD arasında daha fazla çatışma göreceğiz.
  5. 'Veri yeni yağdır' olduğundan, kullanıcıların çerezler aracılığıyla veri vererek ücretsiz ürün ve hizmetler aldığı daha fazla durum görebiliriz.
  6. İşletmeler, uyumlu kalmak için üçüncü taraf çerezlerden sunucu tarafı izleme ve otomasyona geçecek.
  7. İşletmeler, birden çok gizlilik yasasına uyumlu kalmalarına yardımcı olmak için Tasarımla Gizlilik (PdB) ve hizmet tasarım araçlarını ve sürecini benimseyecektir.
  8. Ve son olarak - ve bu kesin - daha fazla ve daha büyük gizlilik davaları göreceğiz. Kazananlar olarak kim ortaya çıkacak - büyük teknoloji mi yoksa gizlilik savunucuları mı? Bunu bilmiyorum ama bir şeyden emin olabiliriz: gizlilik avukatları çok para kazanacak.

Güven Üzerine Son Söz

Hem Avrupa Komisyonu'nun iletişimlerinin hem de sektör uzmanlarının yorumlarının temelini oluşturan tema güvendir . Bizimki gibi dijital ajansların artık veri güvenliği ve GDPR uyumluluğuna dair kanıt sağlaması gerekiyor - hatta veri koruması için personel eğitim politikalarına kadar. Bu yeni. AB'nin önceliği, hem AB içinde hem de dışında güvenli, güvenli veri akışlarını ve yeniliği desteklemektir. Standartlara uygunluk bunun için onların çözümüdür. Tasarımcılar ve geliştiriciler olarak bizim de oynayacağımız çok önemli bir rol var.

  • 1. Bölüm: GDPR, Önemli Güncellemeler ve Bunların Anlamı
  • Bölüm 2: Tasarımcılar ve Geliştiriciler için Çerez İzni

Daha fazla okuma

  • Veri Koruma, AB'nin sitesi
  • Birleşik Krallık ICO'nun Çerezler Hakkında Rehberi
  • GDPR Enforcement Tracker, GDPR kapsamında uygulanan cezaları günlüğe kaydeder
  • Cyber-Duck tarafından hazırlanan GDPR Kontrol Listesi (başlamak için harika bir yer)
  • ICLG'nin Amerika Birleşik Devletleri'ndeki Veri Koruma Yasasına Genel Bakış
  • GDPR ve CCPA Karşılaştırma Kılavuzu, DataGuidance and the Future of Privacy Forum
  • IAPP'den CCPA'ya karşı CPRA
  • Tasarıma Göre Güvenlik (Amazon)
  • Kullanıcılarınızı Tasarım Çerçevesine Göre Gizlilikle Nasıl Korursunuz, Heather Burns, Smashing Magazine