top of page

GDPR Nedir?

GDPR, Avrupa Birliği dahilindeki tüm bireyler için veri koruma ve gizlilik konusunda AB tarafından oluşturulan Genel Veri Koruma Yönetmeliği anlamına geliyor. GDPR, 1995’ten beri gizlilik yasası olan 95/46 / EC sayılı Directive (“Direktif”) olarak bilinen eski bir gizlilik yasasının yerini alacak.

GDPR’ın temel amacı, kişilere kişisel verileri üzerinde daha fazla kontrol sağlamaktır. AB’de bulunan işletmeler ve AB’de ikamet eden kişilerin verilerini toplayıp işliyorsa AB’nin dışındaki işletmeler için geçerlidir.

GDPR, 2016 yılında onaylandı ve uygulanma zorunluluk tarihi 25 Mayıs 2018’dir. Özellikle ticari firma web siteleri bu tarihten önce uyumlu hale getirilmelidir.

GDPR, kişisel verileri toplayan tüm işletmeleri etkiler ve kişisel verilerin tanımı çok geniştir.

GDPR aynı zamanda geriye dönüktür. Bu, 25 Mayıs 2018 tarihinden önce toplanmış olsa bile, sakladığınız veya kullandığınız tüm müşteri verileri için geçerli olduğu anlamına gelir.

Neden GDPR’a Uymalıyız?

Bir web sitesini işletiyor ve AB’den herhangi bir web sitesi ziyaret ediyorsanız, GDPR’dan etkilenirsiniz. Bir e-posta listeniz yoksa, herhangi bir ürün satmıyorsanız, hatta reklam dahi vermiyor olsanız bile bu kuralları uygulamalısınız. Çünkü, GDPR AB’de yaşayan insanların kişisel verilerini toplayan herhangi bir alanda iş veya hizmet veriyor olmanızla ilgilenir. Avrupa Komisyonu’na göre “kişisel veriler, bir şahsa ilişkin, onun özel, profesyonel veya kamusal yaşamıyla ilgili olsun ya da olmasın, herhangi bir bilgidir. İsim, ev adresi, fotoğraf, e-posta adresi, banka bilgileri, sosyal medya sitelerinde yayınlar, tıbbi bilgiler veya bilgisayarın IP adresi olabilir.

Bir web sitesi sahibi olarak bir IP adresinin kaydedilmesi bile sizi GDPR kurallarına uymanızı gerektirir. WordPress dahil olmak üzere çoğu CMS, varsayılan olarak IP adresleri topladığından, web sitesilerinin GDPR ile uyumlu olması gerekir.

GDPR Yaptırımları ve Cezaları

İşletmeniz GDPR’ye uygun olmayan bir şekilde bulunursa, 20 milyon Euro veya global yıllık gelirinizin %4’ü kadar, hangisi daha yüksekse o rakam üzerinden cezalandırılabilirsiniz. Uygunluğu proaktif olarak teşvik etmek için yüksek maliyetler uygulamaya konulmuştur. Bu nedenle, sitenizin GDPR uyumlu olması oldukça önemlidir.

Adım Adım GDPR

GDPR’a göre, okuyucularınız / kullanıcılarınız / müşterileriniz, verileriyle ilgili 8 hakka sahiptir. Bu haklarla ilgili herhangi bir talep alırsanız, talebe 30 gün içerisinde mutlaka cevap vermelisiniz.

 

1. Bilgilendirme Hakkı

Kullanıcılar hangi verileri topladığınızı ve nasıl kullanıldığını bilme hakkına sahiptir. Bu, kişisel verilerin neden toplandığına, nasıl kaydedileceğine, ne kadar süre saklanacağına ve başka kimlerin erişebileceğine dair net bilgi vermeniz gerektiği anlamına gelir.

2. Erişim Hakkı

Kullanıcılar, istek üzerine veri denetleyicisi tarafından kaydedilen verilere erişim hakkına sahiptir. Veri denetleyicisi, verilerini tutan varlıktır.

3. Düzeltme Hakkı

Kullanıcılar, yanlış veya eksik verilerini güncelleme veya düzeltme hakkına sahiptir. Veri denetçisi düzeltme için bir istek alırsa, verilerin doğruluğunu kontrol etmek ve gerekirse güncelleştirmek için gerekli adımları atmalıdır.

4. Silme Hakkı (veya unutulması)

Kullanıcılar kişisel verilerini tamamen silme hakkına ve ayrıca daha fazla veri toplanmasını önleme hakkına sahiptir. Veri denetleyicisi bu isteği alırsa, kullanıcı, verileri kaydedilmek üzere onaylarını etkili bir şekilde geri çeker.

5. Kısıtlama Hakkı

Belirli koşullar altında, kullanıcılar verilerini kullanma ve işleme koymalarını kısıtlama getirebilirler. Bu durumda, kullanıcının verileri kaydedilebilir, ancak herhangi bir amaçla kullanılamaz.

6. Taşınabilirlik Hakkı

Kullanıcılar, verilerini makine tarafından okunabilir ve insan tarafından okunabilir biçimlerde isteme hakkına sahiptir. Bu verileri, uygun gördüğü herhangi bir şekilde kullanabilir ve hatta başka bir veri denetleyicisine aktarabilirler.

7. Nesne Hakkı

Kullanıcılar kişisel çıkarları içeren kişisel verilerin kullanımına itiraz etme hakkına sahiptir. Ayrıca, verilerin belirli bir şekilde kullanımına itiraz edebilirler ve veri denetleyicisi, kullanıcıların verilerin nasıl işleneceğinin farkında olduklarından emin olmalıdır.

8. Otomatik Karar Almaya Tabi Olmamak Hakkı

Kullanıcılar, olumsuz bir yasal etki veya benzer bir şey oluşacağı durumlarda, otomatik karar verme sürecinden vazgeçme hakkına sahiptir.

GDPR Kurallarına Göre Web Yöneticisinin Sorumlulukları

Sözleşmeye göre GDPR kapsamında web sitesi sahibi sorumlulukları şunlardır:

  • Kullanıcıları kendi kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin

  • Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın

  • Kullanıcıların, topladığınız verilere erişmesine ve indirmesine izin verin

  • Kullanıcıların istedikleri takdirde verilerini silmelerine izin verin

  • Kullanıcıları herhangi bir veri ihlalinden itibaren 72 saat içinde bilgilendirin

Bu kuralların her birini anlamak önemlidir, bu yüzden bunları tek tek açıklığa kavuşturalım.

Kullanıcıları kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin

Bu kural, verilerini saklayan kişinin / kurumun kim olduğu ve nasıl kullanıldığı hakkında bilgi vermeyi amaçlamaktadır. GDPR’ye göre, topladığınız veriler konusunda spesifik olmanız ve veri topladığınızda açık bir onay almanız gerekir (2. maddede ele alınmıştır).

Bu kuralı anlamak için bir örnek verelim. Bir e-Ticaret mağazası işlettiğinizi varsayalım. Bu kurala uymak için hayata geçirmek için gereken temel bilgiler.

  • Gizlilik politikanızda işletme ayrıntıları ve iletişim bilgilerinizi belirtin.

  • Kullanıcılara hangi verileri topladığınızı ve hangi sayfalarda olduğunu açıklayın.

  • E-posta adresi topluyorsanız, neden topladığınızı ve onay aldığınızı belirtin

  • Kullanıcılara e-posta gönderimi yapacaksanız bunu belirtin ve onay alın.

  • Fiziksel adreslerini kargo için topluyorsanız, bunu belirtin ve onay alın.

  • Müşterilerin ürün incelemesine izin verirseniz, incelemenin nasıl ve nerede paylaşılabileceğinden ve onay alınabileceğinden bahsedin.

  • Kullanıcılar ürün resimlerini paylaşabiliyorlarsa, bu resimleri nasıl kullanılabileceğinizden ve onay alınabileceğinden bahsedebilirler.

  • Kişisel bilgilerinizi üçüncü taraflarla (örneğin bir kargo şirketi) paylaşıyorsanız, bunu belirtin ve onay alın.

  • Bilgilerini herhangi bir dönem için saklarsanız (muhasebe, yeniden hedefleme, vb.), bunu belirtin ve onay alın.

Hatırlanması gereken en önemli şey, ziyaretçilerin, verilerin kullanılabileceği her şekilde bilgilendirilmesi gerektiğidir. Ayrıca, verilere erişen her 3. kişilerden de haberdar olmaları gerekir.

Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın

“Açık” tanımı, ziyaretçinin toplanan verileri anlamasını sağlamak için günlük dili kullanmanız gerektiği anlamına gelir. Spesifik tanımları netleştirmelisiniz ve Şartlar ve Koşullar gibi yasal terminolojide kalmayıp, temel dilde anlatılmalıdır.

“Net onay”, her veri toplama işleminde, ziyaretçinin onaylaması gerektiği anlamına gelir. Bu bir onay kutusu şeklinde olabilir, ancak onay kutusunun varsayılan olarak işaretli olmaması önemlidir.

Kullanıcıların, topladığınız verileri onlara erişmesine ve indirmesine izin verin

Bir kullanıcı isteğinde, kendileri hakkında topladığınız tüm verilere erişim vermeniz gerekir. Bu eklentiler ve temalar tarafından toplanan verileri içermelidir. WordPress’in en son sürümü bir çözüm sunmuş ve makalenin devamında daha fazla ayrıntı ele alınmıştır.

Bu kural uyarınca, okuyucularınıza oluşturdukları verilere erişim sağlamanız gerekir. Örneğin, ziyaretçinin web sitenizde hangi yazıları okuduğunu kaydediyorsanız, bu verileri paylaşmanız gerekir. Ancak, okumak istedikleri içerik türünü tahmin etmek için bazı analizler kullandıysanız, bu bilgileri atlayabilirsiniz.

Kullanıcıların istedikleri takdirde verilerini silmelerine izin verin.

Bu kural, yukarıdaki kuralla benzerdir, ancak ziyaretçiler yalnızca verilerini görüntülemek yerine, verilerinin silinmesini de talep edebilir. WordPress’in en son sürümü, bu özelliği yerleşik olarak oluşturuyor ve aşağıdaki bölümde ayrıntılı olarak bunu anlatacağız.

Bu kuralın birkaç istisnası vardır. Verileri (fatura verileri gibi) saklamanız için yasal bir neden varsa, verileri silmeyi reddedebilirsiniz.

Herhangi bir veri ihlali durumunda kullanıcıları 72 saat içinde bilgilendirin

Ziyaretçinizin verileri herhangi bir şekilde sızdırılmışsa (saldırıya uğramış web sitesi, çalınan bilgisayarlar, yanlışlıkla parola paylaşımı), ziyaretçileriniz, okuyucularınız veya müşterileriniz 72 saat içinde sızıntı hakkında bilgilendirilmelidir. Ayrıca yerel GDPR yetkililerinizi sızıntı hakkında bilgilendirmeniz gerekiyor.

WordPress Web Siteleri Neler Yapmalı?

Tüm WordPress web sitelerinin GDPR’den etkileneceği açıktır. Tamamen uyumlu bir web sitesine sahip olmak için, web sitenizi müşteri verileri penceresinden düşünerek tasarlamaya başlamalısınız.

Verilerin yakalandığı tüm yerlerin bir listesini yaparak başlayın ve aşağıda belirtilen kurallar hakkında bir kontrol listesi oluşturun.

  • Kullanıcıların veri toplandığını bildiriyor muyum?

  • Verilerin ne için kullanılacağını belirtmekte açık mıyım?

  • Ziyaretçiler açık ve net bir onay vermesinin bir yolu var mı?

  • Bu verileri istekleri üzerine ziyaretçilere sunabilir miyim?

  • Bu verileri istekleri üzerine silebilir miyim?

  • Bu verileri istek üzerine anonim hale getirebilir miyim?

  • Gizlilik politikam veri kullanımıyla ilgili tüm gerekli bilgileri veriyor mu?

Kullanıcı bilgilerini topladığınız tüm yerler için kendinize bu soruları sormanız gerekir. Bunun dışında, temanızın ve eklentilerinizin hangi tür verileri yakaladığını da bilmeniz gerekir. Kullandığınız her tema ve eklenti de GDPR uyumlu olmalıdır.

WordPress web siteleri genellikle aşağıdaki yöntemlerle veri toplar.

  • Kayıtlı kullanıcılar

  • Yorumlar

  • İletişim formları

  • Trafik ve analiz unsurları

  • E-posta abonelikleri

  • Reklam unsurları

  • Güvenlik eklentileri

Bütün bu noktalarda GDPR kurallarına uymak zorundasınız. Bir sonraki bölümde atmanız gereken adımlara değineceğiz.

GDPR Uyumlu Olmaya Yönelik Adımlar

Ne tür bir web sitesi sahibi olursanız olun, en kısa zamanda GDPR ile uyumlu hale gelmeniz önemlidir.

Yukarıda vurgulanan temel yönergelere dayanarak, aşağıdaki alanlarda değişiklik yapmanız gerekir:

  • Şartlar ve Koşullar sayfanız

  • Gizlilik Politikanız

  • Yorum Alanları

  • Etkileşim formları (haber bülteni, rss ve bildirim abonelikleri, e-posta abonelik formu, iletişim formları)

  • Analiz eklentileri

  • Kullanıcı bilgilerini topladığınız diğer noktalar

  1. Adım: Şartlar ve Koşullar

Şartlar ve koşullar, ziyaretçilerinizi web sitenize bağlayan temel kurallardır; gizlilik politikası ise topladığınız verilerle ilgilenir. GDPR’ye uygunluk ile ilgili bilgileri ve ayrıca kullanıcıların kendi verileriyle ilgili isteklerini nasıl yerine getirebileceğini bu sayfaya dahil edin.

  1. Adım: Gizlilik Politikası

GDPR, öncelikli olarak tüketici verileriyle ilgili olduğundan, yapmanız gereken en önemli değişiklikler, gizlilik politikanızda olacaktır.

Özellikle, aşağıdaki bilgileri vermeniz gerekir:

  • Kimsiniz – Adınızı veya kuruluşunuzun adını, adresini, iletişim bilgilerini vb. ekleyin.

  • Hangi veriler toplanır – Topladığınız IP Adresi, adı, e-posta ve diğer bilgileri kaydettiğinizden emin olun. Bu bilgiler web sitesinden siteye farklılık gösterecektir

  • Verileri neden toplarsınız – Özellikle neden veri topladığınızdan emin olun.

  • Veriler ne kadar süre korunuyor – Verileri ne kadar süreyle saklayacağınızdan bahsedin

  • Veriler nasıl paylaşılır? – Verileri başka kiminle paylaşırsınız? E-posta bülteni gönderiyorsanız, verilerinizi e-posta servis sağlayıcınızla paylaşıyorsunuzdur. Verileri paylaştığınız tüm hizmetlerden bahsedin.

  • Müşteriler verilerini nasıl indirebilir? – Müşterilerin kendi bilgilerine nasıl erişebileceklerine dair süreci tanımlayın. WordPress’in en son sürümü bunu başarmanıza yardımcı olacak ve bunu son bölümde ele alıyoruz.

  • Veriler nasıl silinir? – Müşterilerin verilerini nasıl silebileceğini veya silinmesini isteyeceğini açıklayın. Son bölümde açıklayacağımız WordPress’in en son sürümü de bu özelliğe sahip.

  • Veri Koruma Görevlisinin İletişim Bilgileri – Çoğu durumda, bu sizin e-posta adresiniz olacaktır.

Bilmeniz gereken diğer önemli şey, WordPress 4.9.6’nın (17 Mayıs’ta yayımlandı), yukarıda bahsedilen pek çok görevi yapmanıza izin verecek birçok özelliğe sahip olmasıdır. Ayrıca, gizlilik politikanıza hangi bilgilerin dahil edilmesi gerektiğine dair sizi yönlendiren bir gizlilik politikası oluşturucusu da vardır. Son bölümdeki detayları anlattık.

  1. Adım: Yorum Alanları

Yorumlar web sitenizde saklanacağından ve kişisel veriler olarak nitelendirileceğinden, bu, bilgileri yakalamadan önce kullanıcının açık rızasını almanız gerektiği anlamına gelir. WordPress’in en yeni sürümü bu özelliğe sahiptir.

  1. Adım: Etkileşim Formları

Bir kullanıcının herhangi bir bilgiyi verebileceği iletişim formu ve diğer yerler, hangi verilerin yakalandığı ve nasıl kullanılacağı hakkında bilgi ekleyerek uyumlu hale getirilmelidir. Ayrıca, kullanıcıların bu verilerin kullanılmasına izin vermeleri için bir onay kutusu eklemeniz gerekecektir.

  1. Adım: Analiz Eklentileri

Web sitenizde kullandığınız tüm analiz eklentilerini gözden geçirmeniz ve gizlilik politikanızda toplanan verileri belirtmeniz gerekir.

  1. Adım: Bilgi toplayan diğer noktalar

Kullanıcı bilgilerini toplayabilecek tüm sayfaları (içerik yükseltmeleri, vb.) gözden geçirin ve bu sayfalardaki GDPR yönergelerini takip edin.

  1. Adım: Eklentiler, temalar ve 3. taraf hizmetleri

Temalarınızı, eklentilerinizi ve diğer 3. taraf hizmetlerinizi (e-posta hizmeti vb.) inceleyin ve bunların hepsinin GDPR uyumlu olduğundan emin olun. Bir temanın veya eklentinin uyumlu olduğundan emin olun. Bir temanın veya eklentinin uyumlu olmaması, GDPR’ye uymadığınızı gösterir.

bottom of page