İnternet, mutlak özgürlük ve gerçekleştirdiğiniz her tıklamayla sizi tehdit eden tehlikeler ile kanunsuz yeni bir sınıra benzeyeli uzun zaman oldu. Online olarak sahip olunacak çok fazla özgürlük olmadığından değil. İnternet de kesinlikle güvenli bir yer değil. Fakat siz de dahil olmak üzere, kullanıcılarının her birini etkileyen düzenlemelere sahip olmasına rağmen, bunların hepsi olmayı başarıyor.
Bir web siteniz varsa, belirli düzenleyici standartları karşılamak için ek sorumluluklarınız olabilir. Çok fazla yaygaraya neden olan en son bu tür düzenleme, AB’nin Genel Veri Koruma Yönetmeliği veya GDPR’dir. Buna aşina değilseniz ve WordPress GDPR uyumluluğunun neyi gerektirdiğini merak ediyorsanız, anlamanıza yardımcı olmaya çalışacağız. Şunları okuyacaksınız:
-
GDPR Nedir?
-
GDPR Hükümleri
-
WordPress ve GDPR Uyumluluğu
-
Bir Web Sitesinin GDPR Uyumluluğu Nasıl Belirlenir?
-
Bir Web Sitesini GDPR ile Daha Uyumlu Hale Getirme
Fakat başlamadan önce, bu makalenin hiçbir şekilde gerçek bir yasal tavsiye teşkil etmediğini açıkça belirtmemiz önemlidir. Bir avukat tarafından yazılmamıştır. Televizyonda oynayan bir kişi tarafından bile yazılmamış. GDPR ile ilgili yasal tavsiye için bir avukata danışmalısınız.
GDPR Nedir?
2016 yılının Nisan ayında, Avrupa Birliği’nin yasama organları, AB vatandaşlarının kişisel verilerinin toplanmasını düzenleyen bir dizi kural kabul etti. Genel Veri Koruma Yönetmeliği olarak adlandırılan ve genellikle GDPR olarak kısaltılan bu kurallar dizisi, mevcut bir kuralın, 1995 tarihli Veri Koruma Direktifinin yerine geçmek üzere kabul edilmiştir.
İki yönetmeliğin kabul edilmesi arasında geçen sürede ne kadar çok şeyin değiştiğini düşünmek için bir dakikanızı ayırın. Orijinal Yönerge, potansiyel müşteri yakalama formları olan sosyal medya Google Ads’den önce oluşturuldu. Yönerge metni, Microsoft’un çerezleri destekleyen Internet Explorer’ın ilk sürümünü piyasaya sürdüğü aynı ay içinde ortaya çıktı.
GDPR, AB vatandaşlarının kişisel verilerine ek korumalar getirmek için tanıtıldı ve daha önce Veri Koruma Direktifi tarafından sunulanları genişletti. AB vatandaşlarının haklarını korumaya hizmet ettiğinden, kişisel verilerini toplayan veya işleyen herhangi bir kuruluş, AB üyesi olmayan bir ülkede kayıtlı bir kuruluş olsalar bile GDPR’ye uymak zorundadır.
Yönetmeliğin uygulanması, 25 Mayıs 2018’de zorlu bir başlangıç yaptı ve anketler, kuruluşların üçte ikisinin GDPR uyumlu olmadığını gösterdi. Bir önceki yılda 20 milyon dolara veya yıllık cironun %4’üne kadar çıkabilen GDPR cezaları, ilk yılda binlerce avro olarak alınıyordu, fakat 2019’da milyonlara yükseldi. GDPR, British Airways’in bir kullanıcı verisi sızıntısı nedeniyle ödemek zorunda olduğu 183,39 milyon £ idi.
GDPR ile birlikte yürürlüğe giren en büyük değişiklik, AB pazarına girmek isteyen herkese uygulanmaya başlaması oldu. AB vatandaşları web sitenize erişebildikleri ve siz onların kişisel bilgilerinin bir kısmını toplamayı planladığınız sürece, AB dışında ikamet ettiğiniz için artık verilerini istediğiniz şekilde kullanamazsınız.
GDPR Hükümleri Nelerdir?
Diyelim ki verileri toplayan ve daha sonra işlenmesi için üçüncü taraf hizmetlere gönderen bir web siteniz var. GDPR’de, verilerini topladığınız bir Avrupa vatandaşı veri sahibi olarak adlandırılır. Web sitesinin sahibi olarak siz bir veri denetleyicisisiniz – verilerin neden işlenmesi gerektiğine ve işlemenin nasıl gerçekleşmesi gerektiğine karar veren bir varlıksınız. İşlemeyi gerçekleştiren varlık elbette işlemcidir.
Öngörülen İlkelere Bağlı Kalmak
Yakında veri sahibi olacak biri web sitenize geldiğinde, kişisel olarak kabul edilen verileri topluyorsanız, söz konusu verilerin şu şekilde olması gerektiğinden emin olmanız gerekir:
-
Yasal, adil ve şeffaf bir şekilde işlenir.
-
Münhasıran belirttiğiniz meşru amaçlar için toplanır.
-
Amaçlar için gereken asgari ölçüde sınırlıdır.
-
Doğru ve güncel.
-
Veri öznesini yalnızca ihtiyaç duyulduğu sürece tanımlanabilir kılacak şekilde saklanır.
-
Güvenlik ve gizliliği sağlayacak şekilde saklanır ve işlenir.
Denetleyici olarak, bu ilkelere bağlı kalmak sizin sorumluluğunuzdadır. Birinci ilkede belirtildiği gibi, verileri işlemek için yasal bir dayanağınız olduğundan da emin olmanız gerekir. Veri sahibinin haklarını ihlal etmeden yasal yükümlülüklere uymak, bir sözleşmeyi ifa etmek veya meşru menfaatlerinizi gözetmek için veri işlemek, kullanabileceğiniz yasal dayanaklardan bazılarıdır.
Veri Sahibinin Haklarına Saygı Göstermek
Verilerin yasal olarak geçerli bir nedenle toplanıp işlenmesini ve belirli bir şekilde ele alınmasını sağlamanız gerekirken, veri sahibinin haklarına da saygı göstermelisiniz. Bu durum diğer şeylerin yanı sıra, onlara izin vermek anlamına gelir:
-
Veri toplama ve işlemenin doğası, amacı, kapsamı ve hatta yeri hakkında bilgilere erişim.
-
Verilerin işlenmesine muvafakat verme ve geri alma.
-
Verileri üzerinde gerçekleştirdiğiniz işlemlere kısıtlamalar getirmek.
-
Onlar hakkında topladığınız tüm verilere erişim.
-
Sizden sahip olduğunuz tüm verileri silmenizi isteme yeteneği.
-
Yanlış verileri düzeltmenizi istemek için.
Bu çok gibi görünse de – ve bazen öyledir – sizi veri konularının haklarını korumaya ve tüm ilkelere bağlı kalmaya yöneltebilecek genellikle kolay çözümler olduğunu göreceksiniz. Burada bir onay kutusu, birkaç kelime harikalar yaratabilir.
Fakat GDPR uyumluluğuna yönelik çalışmanın da incelikleri var. Bu yüzden WordPress’in en son sürümünü kullanmak ve yalnızca GDPR’ye hazır eklentileri kullanmak kesin bir zorunluluktur. Ama yapman gereken tek şey bu mu? Muhtemelen değil. Biraz daha çaba sarf etmeniz gerekecek.
WordPress ve GDPR Uyumluluğu
WordPress, web sitenizin GDPR uyumlu olmasına yardımcı olmak için üzerine düşeni yaptı. GDPR’nin yürürlüğe girmesinden yaklaşık bir hafta önce, WordPress’in ana ürününün GDPR uyumlu olmasını sağlayan WordPress 4.9.6 piyasaya sürüldü. WordPress’in bu sürümünü veya ondan sonra gelen herhangi bir sürümü kullanıyorsanız, izin verme seçenekleri sunabilir, bir Gizlilik Politikası sayfası oluşturabilir ve WordPress ve katılan eklentiler tarafından toplanan kullanıcı verilerini dışa aktarabilir ve silebilirsiniz.
Eklentiler de hızlandı. Örneğin WooCommerce, mağaza sahiplerini WooCommerce ve GDPR uyumluluğu hakkında bilgilendirmeye adanmış bir sayfa oluşturdu. 3.4 güncellemesiyle GDPR uyumluluğuyla ilgilenmeye başladı, fakat aynı zamanda temel WordPress sisteminin 4.9.6 sürümünde sahip olduğu tüm özelliklere sahip olmasını sağlamada da aktifti.
Bazı eklenti geliştiricileri, özellikle GDPR uyumluluğuna yardımcı olmak için eklentiler oluşturdu. Örneğin tanımlama bilgilerinin kullanımına izin vermenizi sağlayan bir dizi eklenti bulabilirsiniz. Web sitenizin yönetmeliğe uygunluğunu test etmenize yardımcı olabilecek birkaç tane var.
Fakat temel WordPress ürününün GDPR uyumlu olmasına ve yalnızca GDPR’ye hazır eklentileri kullanmaya karar vermiş olmanıza rağmen, bunun web sitenizin %100 uyumlu olduğu anlamına gelmediğini anlamanız önemlidir. Eklentilerinizle birlikte kullandığınız uzantılar gibi API’ler de GDPR uyumluluğunuzu etkileyebilir. Kontrolör olarak, veri sahiplerinin kişisel verileriyle ilgili olan her şeyin GDPR’nin şart koştuğu yönergeler dahilinde olmasını sağlamanın sizin sorumluluğunuzda olduğunu unutmayın.
Web Sitemin GDPR Uyumlu Olduğunu Nasıl Anlarım?
WordPress web siteleri kapalı, statik sistemler olmaktan çok uzak olduğundan, zaman zaman GDPR ile çizginin doğru tarafında olup olmadığınızı değerlendirmek için bir yola ihtiyacınız olacak. Öyleyse, bu alanda hangi seçeneklere sahip olduğunuzu görelim.
Bir Öz Değerlendirme Gerçekleştirin
Web sitenizin GDPR’ye uygunluk düzeyini sağlamanın harika bir yolu, bir öz değerlendirme yapmaktır. İrlanda Veri Koruma Komisyonu tarafından sağlanan, örneğin, kişisel veriler ve veri sahibi haklarından veri güvenliği ve ihlallerine kadar uzanan alanlarda size rehberlik edecektir.
Tüm soruları yanıtladıktan sonra, web sitenizin ziyaretçi verilerini nasıl işlediği ve onu daha iyi hale getirmek için neler yapabileceğiniz konusunda çok daha net bir fikre sahip olacaksınız. Tek dezavantajı, genellikle, bu öz değerlendirme testlerinde gezinmeden önce GDPR, ilkeleri ve kullanılan terminoloji hakkında biraz bilgiye ihtiyacınız olacak olmasıdır.
Web Sitesi Denetimi Alın
Bazı işletmeler, hizmet olarak bir web sitesi denetimi sunacaktır. İdeal olarak, hem Avrupa yasal ortamını hem de web tasarımının inceliklerini ve online güvenliği anlayan birinin bir göz atmasını istersiniz.
Aynı amaçlar için kullanabileceğiniz otomatik araçlar da vardır. Boşluğu kapatmak ve web sitenizi uyumlu hale getirmek için biraz fazladan çalışmanız gereken alanları değerlendirebilecek araçlar bulabilirsiniz.
Nükleere Geçin — GDPR Konusu Olmayın
Bu durum kendinizi AB düzenleyicilerinin kontrolünden çıkarmak için en sert önlem olabilir, fakat bazı web siteleri için buna değer olabilir. Bunu yapabileceğiniz iki yol yeterince basit — ya veri toplarsınız, fakat Avrupa vatandaşlarının web sitenize erişmesini yasaklarsınız ya da herhangi bir veri toplamazsınız.
Bu yöntemlerle ilgili sorun, her iki durumda da değerli bir şeyden vazgeçmeniz gerektiğidir. Avrupa pazarı çok büyük ve varlıklı, bu yüzden onu kesmek, potansiyel karlardan vazgeçmek anlamına gelir. Öte yandan, herhangi bir veri toplamazsanız, web sitenizden para kazanmakta veya bazı durumlarda hiç çalışmasını sağlamakta zorlanacaksınız.
GDPR Uyumluluğuna Doğru Nasıl İlerlenir?
Web sitenizin GDPR uyumluluğu açısından nerede durduğunu bilseniz bile, doğru yönde bir veya iki adımı nasıl atacağınız konusunda hiçbir fikriniz olamaz. Web sitenizin tamamen uyumlu olmasını sağlayacak tek bir yöntem yoktur, fakat birkaçını birleştirirseniz, Brüksel’deki kanun koyucuların koyduğu tüm kurallara uygun bir web sitesi oluşturma şansınız artar.
Web sitenizi GDPR ile daha uyumlu hale getirmek için yapmanız gereken bazı şeyler şunlardır.
1. Bir Uzmana Danışın
GDPR hakkında bir blog yazısı okumanın bir uzmandan geçerli yasal tavsiye almakla aynı şey olmadığını bir kez daha belirtmek zorundayız. Denetim yapmak için yasal bir tema tutsanız da, uyum önlemlerini uygulamaya koyan ekibe hukuk danışmanınızı da koysanız, hem yasayı hem de ilgili teknolojiyi anlayan birinin bulunduğundan emin olun. En azından, siz bu listedeki diğer her şeyi yaptıktan sonra bir denetim yapmalarını sağlayın.
2. Hangi Kişisel Verileri Neden Topladığınızı Anladığınızdan Emin Olun
GDPR’nin yaptığı en önemli şeylerden biri, kişisel verilerin tanımını, IP adresleri, RFID etiketleri ve tanımlama bilgisi tanımlayıcıları dahil olmak üzere kimliği belirlenebilir bir kişiyle ilişkilendirebileceğiniz her türlü veriyi içerecek şekilde güncellemekti.
Kullanmakta olduğunuz eklentileri, API’leri, uzantıları almalı ve topladıkları verilerin açıklamasını bulmak için belgelerini gözden geçirmelisiniz. Google Analytics’ten mağazanızın ödeme işleme hizmetine kadar her şeyin incelenmesi ve hangi verinin nereye gittiğinin farkında olmanız gerekir. Kontrolör olarak tüm bunlardan sorumlusunuz.
3. Ziyaretçilere Neyi Neden Topladığınızı Bildirin ve Onlara Onay Verme Yeteneği Verin
Gizlilik Politikanız, Kullanım Koşullarınız ve diğer belgeleriniz, uygun olduğunda kişisel verilerin kullanımına ilişkin bir referans içermelidir. Topladığınız verileri ve bunu neden yaptığınızı açıklamanız gerekir.
Bu tür belgeleri oluşturma konusunda yeniyseniz, en azından ilham almak için WordPress’in artık varsayılan olarak oluşturduğu Gizlilik Politikasına güvenebilirsiniz. Politika, topladığınız verileri ve bunları toplamak için sahip olduğunuz nedenleri yansıtmalıdır.
Ayrıca rızanın GDPR kapsamında açık olması ve aktif bir şekilde sağlanması gerektiğini unutmayın. Bu yüzden kullanıcılara, verilerinin işlenmesine yönelik açık rızalarını gösteren bir şey vermeniz gerekir. Genellikle bir onay kutusu iş görür.
4. Veri Topladığınız Tüm Noktaları Gözden Geçirin
Bazı eklentilerin düzgün çalışması için kişisel verileri toplaması gerekir. Diğer eklentiler var…