İzleme araçları, e-posta servisleri ve e-ticaret altyapısı; IP adresi, cookie kimliği, konum ve kimlik bilgisi topladığı an GDPR’ın konusu haline gelir. Dolayısıyla pratikte sorulması gereken soru, toplanan verinin hangi yükümlülükleri doğurduğu ve sistem tarafında ne yapılması gerektiğidir. Avrupa Birliği’nde ikamet eden bir kişinin verisini işleyen her site, sunucusu nerede olursa olsun bu kapsama girer1 2.
Bu yazı, kişisel veri toplayan bir site veya uygulama işleten herkes için GDPR’ın pratik yükümlülüklerini ve bunların sistem tarafındaki karşılığını ele alıyor. Consent yönetiminin ölçüme etkisini daha önce Consent Banner Koydunuz, Trafiğiniz %30 Düştü yazısında ele almıştım; buradaki odak, uyumun çerçevesi ve yapılması gerekenlerdir.
GDPR Kapsamına Ne Zaman Girilir
General Data Protection Regulation (GDPR), Avrupa Birliği kapsamında, AB vatandaşlarının kişisel verilerinin korunmasına yönelik olarak düzenlenmiş, doğrudan bağlayıcı ve uygulanabilir bir yönetmeliktir1. 25 Mayıs 2018 tarihinden3 itibaren tüm AB üyesi ülkelerde geçerlidir. Kapsama, AB üyesi ülkelerde yaşayan kişiler, AB vatandaşı olarak bu ülkelerde ikamet edenler ve AB üyesi ülkelerle ticari ilişkisi bulunan kurum ve kuruluşlar girer. Edinilen kişisel verilerin, yönetmelikte belirtilen kurallara uygun olarak kişi onayı ile alınması, işlenmesi ve saklanması gerekir. GDPR geçmiş verileri de kapsar: ilgili veriler 25 Mayıs 2018’den önce toplanmış olsa dahi yönetmelik kuralları çerçevesinde ele alınmalıdır2.
Son kullanıcılar, müşteriler ve çalışanlar dahil olmak üzere AB’de ikamet eden kişilere pazarlama yapan veya bu kişilerin bilgilerini işleyen kurumların, faaliyetlerine devam edebilmek için GDPR’a uyması ve kişilerden izin alması gerekir. İzin alınmış veriler yönetmelikte belirtildiği şekilde saklanmalıdır. Kişi, kendisini tanımlayan verilerin işlenmesi için verdiği izni istediği zaman geri çekme hakkına sahiptir. Uymayan kurum ve kuruluşlar, veriyle ilgili hukuki bir durum söz konusu olduğunda ciddi ceza ve yaptırımlarla karşılaşabilir2.
Kişisel Veri Sayılan Bilgiler
Yönetmelik kapsamında şunlar kişisel veri (data subject) sayılır:
- Kimlik bilgileri: isim, kimlik numarası
- Banka hesap bilgileri
- Adres (ev, iş) ve konum (geolocation)
- IP adresi, cookie bilgileri ve diğer internet verileri
- Fiziksel görünüme ait tanımlayıcı ve biyometrik veriler
- Etnik köken ve ırk bilgileri
- Siyasi görüş, ideoloji
- Tıbbi veriler (sağlık durumu, kullanılan ilaçlar)
Bu kalemler göz önüne alındığında; izleme (tracking) araçları, kullanıcı profili tutan sosyal medya ve forum siteleri, adres ve kimlik kaydı tutan e-ticaret siteleri, yorum ve geri bildirim özelliği sunan içerik siteleri (WordPress), profil servisleri (Disqus, Gravatar), yeniden hedefleme için çeşitli etiketler kullanan site ve uygulamalar ile e-bülten servisleri GDPR kapsamına girer.
Kim Hangi Veriyi Topluyor
Çoğu site, kendini “veri toplamıyorum” sanırken aslında kapsama girer. Aşağıdaki tablo, tipik bir dijital yapıda hangi verinin nereden geldiğini ve neden kişisel veri sayıldığını gösterir.
| Toplanan veri | Tipik kaynak | Neden kişisel veri |
|---|---|---|
| IP adresi, cookie kimliği | Analytics araçları, reklam etiketleri | Cihazı ve dolaylı olarak kişiyi tanımlar |
| Ad, kimlik numarası, adres | E-ticaret checkout, üyelik formları | Doğrudan kimlik bilgisi |
| Konum (geolocation) | Mobil uygulama, IP tabanlı tespit | Kişinin bulunduğu yeri belirler |
| E-posta, açılma ve tıklama geçmişi | E-bülten servisleri | Kişiyle ilişkilendirilmiş davranış verisi |
| Biyometrik, sağlık, etnik köken | Özel kategori formlar | Özel nitelikli veri, ek koruma gerektirir |
Veri İşlemenin Yasal Dayanağı
GDPR, kişisel verinin kaydedilmesi veya kullanılması durumunda; toplama ve işleme amacının, yasal dayanağının, saklama süresinin ve verinin herhangi bir üçüncü tarafla ya da European Economic Area (AEA) dışında paylaşılıp paylaşılmadığının açıkça belirtilmesini gerektirir. Kişisel veri sahipleri, istediği zaman verilerinin bir kopyasını isteme veya silinmesini talep etme hakkına sahiptir. Bir işletme, kişisel verilerin gizliliğini olumsuz etkileyen bir ihlalle (örneğin bilgilerin çalınması) karşılaşırsa, ilgili kişileri 72 saat içinde bilgilendirmelidir1 3 2.
Kişisel veriler en az bir yasal dayanak kapsamına girmelidir; aksi durumda işlenemez. Yönetmeliğin 6. maddesine göre işleme için geçerli yasal dayanaklar şunlardır1:
a. İlgili kişi, kişisel verilerin işlenmesine izin vermişse b. İlgili kişiyle yapılan sözleşmeden doğan yükümlülükler yerine getiriliyorsa c. Veri işletmecisinin yasal zorunluluklara uyması amacıyla d. İlgili kişinin ya da başka bir kişinin hayati çıkarları söz konusuysa e. Kamu yararına veya resmi makamda bir görev yerine getiriliyorsa f. Veri işletmecisinin ya da üçüncü bir tarafın, AB Temel Haklar Bildirgesi tarafından geçersiz kılınmayan meşru menfaatleri amacıyla
Kullanıcının 8 Hakkı ve Sistem Karşılığı
GDPR çerçevesinde ziyaretçiler, kullanıcılar ve müşteriler, kişisel verileriyle ilgili 8 hakka sahiptir4. Bu haklara dair bir talep geldiğinde 30 gün içinde cevap verilmesi gerekir. Önemli olan, her hakkı bir slogan olarak değil, sistemde karşılığı olan bir süreç olarak ele almaktır.
| Hak | Kullanıcı talebi | Sistemde gereken |
|---|---|---|
| Bilgilendirme | Hangi veri, ne amaçla toplanıyor | Şeffaf gizlilik metni ve toplama anında bildirim |
| Erişim | Verimin bir kopyası | Veriyi dışa aktaran bir süreç (30 gün içinde) |
| Düzeltme | Yanlış veya eksik veriyi düzelt | Güncelleme akışı ve doğruluk kontrolü |
| Silme (unutulma) | Verimi tamamen sil | Kalıcı silme ve rızanın geri çekilmesi |
| Kısıtlama | İşlemeyi durdur | İşleme bayrağı: sakla ama kullanma |
| Taşınabilirlik | Makine-okur formatta ver | Yapılandırılmış export (JSON, CSV) |
| İtiraz | Belirli işlemeye itiraz | İşlemeyi durduran opt-out |
| Otomatik karara tabi olmama | İnsan müdahalesi talep et | Otomatik karardan çıkış yolu |
Yapılması Gerekenler
Kullanıcı hareketlerinin izlenmesi ve kişisel verilerin kullanımı bağlamında izlenmesi gereken temel adımlar şunlardır:
- Ziyaretçiler; veri sorumlusunun kimliği, toplanan verinin içeriği, toplama amacı, verinin nasıl ve nerede saklanacağı ve kimlerle paylaşılacağı konusunda bilgilendirilmelidir.
- Herhangi bir veri toplanırken ziyaretçilerin açık ve net onayı alınmalıdır.
- Ziyaretçilerin, toplanan veriye erişmesine ve bu veriyi indirmesine izin verilmelidir.
- Ziyaretçilerin talebi doğrultusunda verileri silinmelidir. Yasal bir zorunluluk varsa (örneğin fatura verileri) silme talebi reddedilebilir.
- Herhangi bir veri ihlalinden itibaren 72 saat içinde ziyaretçiler bilgilendirilmelidir.
Uymamanın Bedeli
- AB üyesi ülke vatandaşlarının verisini işleyen tüm işletmeler, konumu ne olursa olsun GDPR kapsamına girer.
- Uymayan kurum ve kuruluşlar, 20 milyon euroya kadar ya da yıllık global cironun %4’üne kadar (hangisi büyükse) para cezası ödeyebilir.
- Veri toplanırken saklama ve işleme amacı kolay anlaşılır biçimde belirtilmeli, izin onayının iptali de kolay erişilebilir olmalıdır.
- İhlal bildirimleri zorunludur.
- Hangi verinin toplandığı, hangi amaçla kullanılacağı ve ne kadar süreyle saklanacağı açıkça belirtilmelidir.
Daha detaylı bir inceleme için Avrupa Birliği Konseyi’nin yayımladığı The General Data Protection Regulation metnine bakılabilir3 5. Ayrıca Netsparker tarafından paylaşılan GDPR Sürecini Nasıl Yönetmeliyiz? başlıklı yazıyı da öneririm.
Tracking, consent ve veri işleme akışını GDPR yükümlülükleri açısından denetleyen, consent-aware server-side tracking kurulumu ve veri sahipliği odaklı bir yapı.
Consent ve Veri Akışı DenetimiFootnotes
- Genel Veri Koruma Yönetmeliği ↩ ↩2 ↩3 ↩4
- A Detailed Insight Into GDPR (General Data Protection Regulation) ↩ ↩2 ↩3 ↩4
- The general data protection regulation. European Council Council of the European Union ↩ ↩2 ↩3
- GDPR Nedir? Haklar, Sorumluluklar ve Yapılması Gerekenler ↩
- Data protection reform. European Council Council of the European Union ↩
- 01 GDPR'ın konusu araç değil veridir: IP, cookie, konum ve kimlik bilgisi toplayan her tracking veya e-posta servisi kapsama girer
- 02 Kapsam coğrafyaya değil veri sahibine bağlıdır: AB'de ikamet eden kişinin verisi işleniyorsa, sunucu nerede olursa olsun GDPR geçerlidir
- 03 İşleme en az bir yasal dayanağa (6. madde) oturmalıdır; rıza bunlardan yalnızca biridir, tek seçenek değildir
- 04 Kullanıcının 8 hakkı slogan değil sistem gereksinimidir: her birine 30 gün içinde cevap verecek bir süreç gerekir
- 05 İhlal bildirimi 72 saat içinde zorunludur; ceza tavanı 20 milyon euro veya yıllık global cironun %4'üdür (hangisi büyükse)
+ GDPR yalnızca Avrupa Birliği'ndeki şirketleri mi bağlar?
Hayır. Kapsam veri sahibinin AB'de ikamet etmesine bağlıdır, şirketin konumuna değil. AB'de yaşayan bir kişinin verisini işleyen her kurum, sunucusu veya merkezi nerede olursa olsun GDPR yükümlülüğü altındadır.
+ İzleme (tracking) araçları kullanmak GDPR kapsamına girer mi?
Evet. IP adresi ve cookie kimliği yönetmelik kapsamında kişisel veri sayılır. Analytics araçları, reklam etiketleri, e-bülten servisleri ve kullanıcı profili tutan platformlar bu nedenle GDPR kapsamındadır.
+ Açık rıza almak tek başına GDPR uyumu için yeterli mi?
Hayır. Rıza, 6. maddedeki yasal dayanaklardan yalnızca biridir. Uyum ayrıca şeffaf bilgilendirme, saklama süresinin belirtilmesi, kullanıcının 8 hakkını karşılayan süreçler ve ihlal bildirim mekanizması gerektirir.
+ Veri ihlali durumunda ne yapmak gerekir?
İhlal kişisel verilerin gizliliğini olumsuz etkiliyorsa, ilgili kişiler 72 saat içinde bilgilendirilmelidir. İhlal bildirimi yönetmelik kapsamında zorunludur.