MakaleABD Web Siteleri için GDPR: Bilmeniz Gereken Her Şey

Yayınlanan: 2022-08-12

Çoğumuz 2018'deki büyük GDPR çılgınlığını hatırlayabiliriz. Avrupa Birliği (AB) ve onun yeni Genel Veri Koruma Yönetmeliği (GDPR) hakkında bilgiyle boğulmuş olma ihtimaliniz yüksek. Bu kapsamlı düzenleme 25 Mayıs 2018'de yürürlüğe girdi.

Bu makale için araştırmaya ilk başladığımda, oradaki "uzman" kaynakların sayısına şaşırdım. Google arama motoru sonuç sayfalarının en üstünde görünen bağlantıların çoğu "resmi" siteler gibi görünüyor.

Sadece para kazanmak için danışmanlık yapanlar için mikro siteler pazarlıyorlar. Bu, reklamlar için geçerli olsa da, aynı şekilde organik sonuçlar için de geçerlidir. Bu sitelerdeki bilgilerin bir kısmı oldukça iyidir, ancak neredeyse tüm durumlarda eksiktir ve yazarların amaçları belirsizdir.

Tüm bu karışıklığı ve yanlış yönlendirmeyi önlemek için tek bir yetkili kaynağa gitmeye karar verdim: Avrupa Komisyonu Web Sitesi. Gerçeklerim ve önerilerim doğrudan 2016/679 (GDPR) Yönetmeliği metnine dayanmaktadır ve bu makale boyunca serbestçe alıntı yapıyorum.

Yönetmelik metninin yanı sıra, aşağıdaki "Üçüncü Taraf Komplikasyonları" bölümünde Google ve Pardot gibi üçüncü taraf hizmet sağlayıcılarının açıklamalarını araştırdım, ancak bu yalnızca müşterilerimizin çoğunun kullandığı şirketlerin hizmetleriyle ilgili olduğu için.

Hedef kitlem, AB'de belirli bir kapasitede iş yapan ABD merkezli şirketlerin (kamu ve özel) temsilcilerinden oluşuyor. Amacım, yeni düzenlemeye uyum sağlamak için kurumsal web sitelerinde ne yapmaları gerektiğini anlamalarına yardımcı olmaktır.

Şirketiniz ABD dışındaysa, şirketiniz hassas verilerle (yani tıbbi kayıtlar) ilgileniyorsa, çocuklar hakkında veri topluyorsa, bir devlet kurumu veya devlet kurumları için bir hizmet sağlayıcıysa, şimdi okumayı bırakın... Bu sizin için değil.

Açık olmak gerekirse, ben bir avukat değilim ve buradaki hiçbir şey yasal tavsiye olarak yorumlanmamalıdır.

GDPR nedir?

AB üyesi ülkelerde mahremiyet hakkı çok yüksek bir standartta tutulmaktadır ve veri toplayanlara yüklenen yük burada Amerika Birleşik Devletleri'ndekinden daha fazladır. Bu yeni bir durum değil. GDPR'den önce AB, 1995 yılında oluşturulan ve GDPR'de bulduğumuz ilkelerin çoğunu ortaya koyan Veri Koruma Direktifi'ne (DPD) sahipti. Hem DPD hem de GDPR, oldukça basit bir şekilde ifade eden Avrupa Birliği Temel Haklar Şartı'na dayanmaktadır:

Herkesin kendisiyle ilgili kişisel verilerin korunması hakkı vardır – Avrupa Birliği Temel Haklar Şartı, Madde 8(1)

GDPR'nin temel ruhu, tüm "gerçek kişilerin" (bu terim daha sonra ele alınacaktır) verilerinin ne zaman toplandığını bilme ve bu veri toplamayı reddetme hakkına sahip olmasıdır. razı olurlarsa Toplamak , bu verilerin nasıl kullanıldığını yönetme, onaylarını iptal etme ve hatta daha sonraki bir tarihte tüm mevcut ve geçmiş verilerinin silinmesini seçme hakkına sahiptirler.

Ayrıca, kullanıcıların verilerini korumaya yönelik yönetişim ve süreçlerle ilgili olarak veri "kontrolörleri" ve "işleyiciler" (bu terimler hakkında daha sonra bahsedilecektir) hakkında belirli beklentiler vardır. Ve son olarak, veri ihlali durumunda bir denetleyicinin yapması gereken şeyler vardır.

GDPR'nin ruhunu anlamak için en iyi kaynaklardan biri önsözüdür. Çoğu yasal belgeden daha sindirilebilir kılan sade ve anlaşılır bir dille yazılmıştır. Ancak bu sade dil, kanunun mutlak lafzını tam olarak yansıtmamakta ve asıl düzenlemenin yerini tutmamaktadır.

DPD'den farklı olarak, GDPR kuralları tüm üye devletler için geçerlidir. Üye devletlerin düzenlemenin yürürlüğe girdiği kabul edilmeden önce uygulamasına gerek yoktur. Ancak GDPR, tıbbi kayıtlar gibi belirli hassas kişisel verilerin korunmasında daha da ileri gidebilecek üye devletlerin ek yasalarını hariç tutmaz.

GDPR, bulundukları yere bakılmaksızın AB'de iş yapan tüm şirketler için geçerlidir. Bir kullanıcının AB'den web sitenize erişmesi, AB'de iş yapma niyetinizi oluşturmaz. Bununla birlikte, AB'de aktif olarak iş kuruyorsanız, GDPR'yi izlemeniz gerekir.

Bir not daha: GDPR, AB Çerez Yasasının yerini almaz veya onun yerine geçmez. O yönetmelik hala yürürlükte.

Kim ve Ne Korunuyor?

AB'de yaşayan Gerçek Kişiler GDPR tarafından korunmaktadır. Düzenleme Brexit'ten önce yürürlüğe giriyor, bu nedenle GDPR şimdilik Birleşik Krallık'ı içeriyor. Bir Gerçek Kişi basitçe bireysel bir insan olarak düşünülebilir. Bir Tüzel Kişi, aksine, sadece bir tüzel kişilik olabilir. GDPR'nin korumaları, Avrupa Birliği dışındaki kişileri kapsamaz.

Kimliği bilinip bilinmediğine bakılmaksızın tek bir kişiyle ilişkilendirilebilecek her türlü bilgi "Kişisel Veri" olarak kabul edilir.

'kişisel veri', kimliği belirli veya belirlenebilir bir gerçek kişi ('veri sahibi') ile ilgili herhangi bir bilgi anlamına gelir; Tanımlanabilir gerçek kişi, doğrudan veya dolaylı olarak, özellikle isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı gibi bir tanımlayıcıya veya fiziksel, fizyolojik, o gerçek kişinin genetik, zihinsel, ekonomik, kültürel veya sosyal kimliği; – GDPR Madde 4(1)

"Tanımlanabilir", ele almamız gereken bir terimdir. Bireyin kimliğini şu anda bilmemiz gerekli değildir. Verileri daha sonra bir kişiyle ilişkilendirmek için araçlara (bir tanımlama bilgisi, IP adresi vb.) sahip olmak, verilerinin GDPR kriterleri kapsamında korunmasını sağlar.

Yönetmelik, belirli veri toplama tekniklerini (örneklerde kullanım dışında) ele almaktan kaçınır, bu nedenle teknolojiden bağımsızdır. Veri toplama konusundaki yeniliklerin hızı göz önüne alındığında, GDPR'nin nispeten geleceğe dönük kalabilmesi için bu gereklidir. Tanımlama bilgileri, IP adresleri, tarayıcı profilleri, yolda kullanıcı verileri bulunan RESTful API'ler ve gelecekte oluşturulabilecek diğer akıllı teknikler GDPR kapsamındadır.

Uyumdan Kim Sorumludur?

sen . Kuruluşunuz, web sitenizin "kontrolörü"dür ve kişisel verilerin GDPR'ye uygun şekilde işlenmesinden nihai olarak sorumludur. Web sitenizde uyumluluğun yetersiz kaldığı bir üçüncü taraf hizmeti kullanmayı seçtiğinizde, hatalısınız.

'Kontrolör', kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer organ anlamına gelir; – GDPR Madde 4(7)

Web sitenize eklenen herhangi bir hizmet (ör. Google Analytics, Pardot vb.) de GDPR'ye uygun olmalıdır. Eklediğiniz hizmetin kişisel veri toplamadığını düşünüyorsanız bile dikkatli olmalısınız.

Birçok ücretsiz hizmet, daha sonra reklam ağları için kullanılacak bir tür veri yakalamayı içerecektir. 2011'de bazı testler yaptım ve birden fazla reklam ağı için ShareThis veya AddToAny gömülü izleme bileşenleri gibi "ücretsiz" sosyal paylaşım widget'ları buldum. Bir durumda, tek bir paylaşım widget'ı, yarım düzine reklam ağı tarafından izlemeyi etkinleştirdi.

Web sitenize eklediğiniz her uygulamayı ve hizmeti iyice incelemelisiniz. Web sitenizin bölümleri üçüncü taraflarca barındırılıyorsa (yani Kariyer/İK veya Yatırımcı İlişkileri), bu satıcıların ve kullandıkları üçüncü tarafların GDPR'ye uygun olduğundan emin olmalısınız.

Ayrıca, web sitenizde veri toplaması gerekmeyen ancak bir şekilde toplanan verilerden sorumlu olan üçüncü tarafları da incelemelisiniz. Analitik danışmanları bu kategoriye girebilir.

Bu üçüncü tarafların tümü, kullanıcılarınızın verilerinin "işleyicileridir".

'işleyici', denetleyici adına kişisel verileri işleyen bir gerçek veya tüzel kişi, kamu makamı, kurum veya diğer organ anlamına gelir; – GDPR Madde 4(8)

Şirketinizde 250'den az kişi çalışıyorsa ve kişilerin hak ve özgürlüklerine yönelik risklerle sonuçlanabilecek hassas kişisel veriler toplamıyorsanız, yükünüzü azaltan işleme faaliyetlerinin kayıtlarında bir miktar hoşgörü vardır. GDPR'ye uymaktan muaf değilsiniz, ancak daha büyük kuruluşlarla aynı standartlara tabi değilsiniz.

İşlemenin Yasal Dayanağı

Herhangi bir kişisel verinin GDPR kapsamında kabul edilebilmesi için altı kriterden en az birini karşılaması gerekir. GDPR, Madde 6(1)'de şunları belirtir:

  1. İşleme, yalnızca aşağıdakilerden en az birinin geçerli olduğu durumlarda ve ölçüde yasal olacaktır:

    (a) veri sahibinin, kişisel verilerinin bir veya daha fazla belirli amaç için işlenmesine onay vermesi;

    (b) veri sahibinin bağlı olduğu bir sözleşmenin ifası için işlemenin gerekli olması Parti veya bir sözleşmeye girmeden önce ilgili kişinin talebi üzerine gerekli adımları atmak için;

    (c) kontrolörün tabi olduğu yasal bir yükümlülüğe uygunluk için işlemenin gerekli olması;

    (d) veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerini korumak için işlemenin gerekli olması;

    (e) kamu yararına yürütülen bir görevin yerine getirilmesi veya kontrolöre verilen resmi yetkinin kullanılması için işlemenin gerekli olması;

    (f) özellikle kişisel verilerin korunmasını gerektiren veri sahibinin çıkarları veya temel hakları ve özgürlükleri tarafından bu tür menfaatlerin geçersiz kılındığı durumlar haricinde, kontrolör veya üçüncü bir şahıs tarafından izlenen meşru menfaatlerin amaçları için işlemenin gerekli olması, veri öznesinin bir çocuk olduğu durumlarda.

Bu altı temelden yalnızca ilki, müşterilerimizin web sitelerinin çoğu için geçerli olacaktır. Kariyer ve e-ticaret bölümleri veya oturum açmanın gerekli olduğu herhangi bir hizmet için (B) temeli de geçerli olabilir .

Kimlik

Bu, GDPR kapsamında hangi tür veri toplamanın yasal bir dayanak gerektirmediğini belirlerken çok önemli bir kavramdır. Bir anlamda özdeşleşme kolayca anlaşılır... Bu verileri gerçek bir kişiyle ilişkilendirebilir miyiz? Eğer öyleyse, o zaman açıkça o kişi GDPR kapsamında korunmaktadır.

Bir tanımlama bilgisi veya başka bir izleme teknolojisi kullanarak anonim bir kişiyi izliyorsak ne olur? Bu kişi anonim olsa bile, daha sonra ek veri toplama yoluyla kimliğini tespit etmek mümkündür. Bu nedenle, o kişi korunur.

Gerçek kişiler, internet protokol adresleri, çerez tanımlayıcıları veya radyo frekansı tanımlama etiketleri gibi diğer tanımlayıcılar gibi cihazları, uygulamaları, araçları ve protokolleri tarafından sağlanan çevrimiçi tanımlayıcılarla ilişkilendirilebilir. Bu, özellikle benzersiz tanımlayıcılar ve sunucular tarafından alınan diğer bilgilerle birleştirildiğinde, gerçek kişilerin profillerini oluşturmak ve onları tanımlamak için kullanılabilecek izler bırakabilir. – GDPR Önsözü(30)

Bunun nedeni, önceden izin almadan bireysel kullanıcılar hakkında asla veri toplayamayacak olmamızdır. Veri toplayıp daha sonra gerçek bir kişiyle ilişkilendirecek olsaydık, bu ilkeyi ihlal etmiş oluruz.

Kullanıcı Hakları

Kişisel veriler toplanmadan önce rızanın güvence altına alınması gerekir. Ve özellikle ne zaman izin verildiği ve kullanıcının hangi işleme biçimlerini kabul ettiği de dahil olmak üzere, söz konusu izinle ilgili tüm veriler saklanmalıdır. Tersine, bir kullanıcı kişisel veri toplamanın bir kısmını veya tamamını iptal ederse, bu iptal de kaydedilmelidir.

Veri sahibinin 'rızası', veri sahibinin bir beyan veya açık bir olumlu eylem yoluyla, kendisiyle ilgili kişisel verilerin işlenmesine ilişkin anlaşmayı ifade ettiği, özgürce verilen, belirli, bilgilendirilmiş ve açık bir şekilde veri sahibinin isteklerinin herhangi bir göstergesi anlamına gelir. veya o; – GDPR Madde 4(11)

Bazı üçüncü tarafların, onay almak için kendi mekanizmalarına sahip olabileceğini, ancak bu hizmetlerin kendilerini kullanıcı deneyimlerinize enjekte etmesine izin vermek, insanlar için kafa karıştırıcı olacaktır. Kullanıcılarınız hakkında bilgi depolamak için tek bir üçüncü taraf sağlayıcı kullanmıyorsanız, açık ve öz olan kendi tek, basit izin mekanizmanızı oluşturmanızı öneririz. Üçüncü taraflar da dahil olmak üzere web sitenizdeki tüm çeşitli veri toplama araçlarını yönetmek için kullanılmalıdır.

'rıza', elektronik araçlar da dahil olmak üzere yazılı bir beyan gibi, veri sahibinin kendisiyle ilgili kişisel verilerin işlenmesine ilişkin rızasının serbestçe verilmiş, spesifik, bilgilendirilmiş ve açık bir göstergesini oluşturan açık bir onaylayıcı eylemle verilmelidir. veya sözlü beyan. – GDPR Önsözü(32)

Kullanıcılar, verilerine erişme, verilerini düzeltme hakkına sahiptir ve veri işleme için artık yasal bir dayanak bulunmadığında (örneğin, bir kullanıcı iznini iptal ettiğinde veya artık müşteri olmadığında) veri konusu, veri sahibi olma hakkına sahip olacaktır. unutulmuş. Bu, toplanan kullanıcı verilerini de depoluyor olabilecek işlemcileri bilgilendiren denetleyicileri içerir.

Ek olarak, kişisel veriler, toplandığı yasal dayanak veya onayın verildiği amaçlar için artık gerekli olmadığında unutulmalıdır.

Veri Koruma ve Sertifikasyon

GDPR, veri denetleyicilerinin (yani sizsiniz) ve işleyicilerin kişisel verileri korumak için uygun adımları (hem teknik hem de kurumsal) atmasını gerektirir.

Bu Tüzüğe uygunluğu gösterebilmek için, kontrolör, özellikle tasarım yoluyla veri koruma ve varsayılan olarak veri koruma ilkelerini karşılayan iç politikalar benimsemeli ve önlemler almalıdır. Bu tür önlemler, diğerlerinin yanı sıra, kişisel verilerin işlenmesini en aza indirmek, kişisel verilerin mümkün olan en kısa sürede takma adlı hale getirilmesi, kişisel verilerin işlevleri ve işlenmesi ile ilgili şeffaflık, veri sahibinin veri işlemeyi izlemesine olanak sağlamak, denetleyicinin güvenlik özellikleri oluşturun ve iyileştirin. – GDPR Önsözü(78)

Bu önlemler ayrıca sınırlı erişim, şifreleme ve veri güvenliği için diğer temel en iyi uygulamaları içermelidir. GDPR'nin yazarları, denetleyicileri ve işleyicileri, kişisel olarak tanımlanabilir bilgilerin korunması için ISO/IEC 27018 Uygulama Kuralları gibi veri koruma sertifikalarını belirlemeye ve bunlara uymaya teşvik eder.

Şeffaflığı ve bu Tüzüğe uyumu artırmak için, veri sahiplerinin ilgili ürün ve hizmetlerin veri koruma seviyesini hızla değerlendirmesine olanak tanıyan sertifikasyon mekanizmalarının ve veri koruma mühürlerinin ve işaretlerinin oluşturulması teşvik edilmelidir. – GDPR Önsözü(100)

takma ad

Araştırmamda, GDPR'de en yanlış anlaşılan kavramın takma ad olduğunu buldum. Takma ad, anonimleştirme ile aynı şey değildir; yalnızca, kullanıcı kayıtlarını tanımlanabilir kılan özellikleri bir veri kümesinden kaldırma ve bu özellikleri bir tür benzersiz tanımlayıcı kullanarak ayrı bir veri kaynağında saklama eylemidir. Bireysel kullanıcıları tanımlamak için, takma ad verilmiş veriler bu ayrı veri kaynağıyla uzlaştırılabilir.

'takma isim', kişisel verilerin, ek bilgilerin ayrı tutulması ve teknik ve organizasyonel önlemlere tabi olması koşuluyla, ek bilgiler kullanılmadan artık belirli bir veri sahibine atfedilemeyecek şekilde işlenmesi anlamına gelir. kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiye atfedilmemesinin sağlanması; - GDPR Madde 4(5)

Toplanan verilerin takma ad haline getirilmesi, kullanıcı verilerinin işlenmesi için yasal bir temel oluşturmaz. Bununla birlikte, özellikle bu veriler bir işlemci veya başka bir üçüncü taraf ile depolandığında, kullanıcı verilerini güvenli bir şekilde depolamak için en iyi uygulamadır. Örneğin, bir işlemcinin veri kümesinde, kullanıcıyı tanımlamak için kendi veri kümenizle birleştirilebilecek benzersiz bir tanımlayıcı kullanabilirsiniz.

Veri İhlal Bildirimleri

Bir kişisel veri ihlali durumunda, kontrolörlerin bunu öğrendikten sonra 72 saat içinde denetim makamlarını bilgilendirmeleri gerekmektedir. ABD merkezli bir şirketin parçası olduğunuz için, denetim makamı, veri öznesinin/konularının ikamet ettiği üye devlet(ler) olacaktır.

'kişisel veri ihlali' iletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya yasa dışı olarak yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya bunlara erişime yol açan bir güvenlik ihlali anlamına gelir; – GDPR Madde 4(12)

Denetleyicilerin ayrıca bir ihlal durumunda etkilenen veri öznelerini bilgilendirmesi gerekir, ancak bu tür bir bildirimin zaman çizelgesi, devam eden veya benzer veri ihlallerini önlemek için gerekli önlemlere bağlı olabilir. Yönergeler basitçe, veri sahipleriyle gereksiz gecikme olmaksızın iletişime geçilmesi gerektiğini belirtir.

cezalar

GDPR ihlali cezaları iki kategoriye ayrılabilir:

  1. Denetim makamları tarafından uygulanan para cezaları
  2. Hakları ihlal edilen veri sahiplerine tazminat

Okuduğum makalelerin çoğu, denetleyici makamlar tarafından uygulanabilecek para cezalarına odaklanma eğilimindedir.

Ve nedenini görmek çok kolay.

Cezalar 20.000.000 € kadar yüksek olabilir veya bir önceki mali yılın dünya çapındaki toplam yıllık cirosunun %4'üne kadar çıkabilir. Bunlar korkutucu rakamlar.

Ancak bu para cezalarının en korkunç ve zarar verici durumlar için ayrılmış üst sınırlar olduğunu anlamak önemlidir. Ceza miktarı belirlenirken birçok faktör dikkate alınır.

İdari para cezası verilip verilmeyeceğine ve idari para cezasının miktarına karar verilirken her bir münferit durumda aşağıdaki hususlar dikkate alınacaktır:

  1. İlgili işlemenin niteliği, kapsamı veya amacının yanı sıra etkilenen veri öznelerinin sayısı ve maruz kaldıkları zararın düzeyi dikkate alınarak ihlalin niteliği, ağırlığı ve süresi;
  2. ihlalin kasıtlı veya ihmalkar niteliği;
  3. veri sahiplerinin maruz kaldığı zararı azaltmak için kontrolör veya işleyici tarafından alınan herhangi bir eylem;
  4. 25 ve 32. maddeler uyarınca kendileri tarafından uygulanan teknik ve organizasyonel önlemleri dikkate alan kontrolör veya işleyicinin sorumluluk derecesi;
  5. kontrolör veya işleyici tarafından önceki ilgili ihlaller;
  6. ihlali gidermek ve ihlalin olası olumsuz etkilerini azaltmak için denetim makamı ile işbirliği derecesi;
  7. ihlalden etkilenen kişisel veri kategorileri
  8. ihlalin denetim makamı tarafından ne şekilde öğrenildiği, özellikle kontrolör veya işleyicinin ihlali bildirip bildirmediği ve bildiriyorsa ne ölçüde bildirdiği;
  9. Madde 58(2)'de atıfta bulunulan önlemler, aynı konuyla ilgili olarak ilgili kontrolör veya işleyiciye karşı daha önce emredilmişse, bu önlemlere uygunluk;
  10. 40. madde uyarınca onaylanmış davranış kurallarına veya 42. madde uyarınca onaylanmış belgelendirme mekanizmalarına bağlılık; ve
  11. ihlalden doğrudan veya dolaylı olarak elde edilen mali faydalar veya kaçınılan kayıplar gibi davanın koşullarına uygulanabilecek diğer herhangi bir ağırlaştırıcı veya hafifletici faktör.

– GDPR Madde 83(2)

Daha büyük bilinmeyen, hakları ihlal edilen veri öznelerinin tazminatının ne olabileceğidir. Herhangi bir GDPR ihlalinin yalnızca bir kişiyi etkilemesi olası değildir, bu nedenle bir tür grup davası beklemek mantıklıdır.

AB üye devletlerinin ulusal kuralları, toplu dava konularına (toplu dava) ilişkin olarak büyük farklılıklar göstermektedir. Bu nedenle, düzenleme yürürlüğe girmeden önce sonuçları tahmin etmek, hukukçulara en iyi şekilde bırakılan bir alıştırmadır. Belki de daha iyisi, kristal kürelere bakan kahinler.

Bazı Ortak Senaryolar

Sonuç olarak, GDPR uyumluluğu o kadar da zor olmak zorunda değildir. Atmanız gereken bazı temel adımlar olsa da, yönergeler açık ve ölçülebilirdir. AB'de iş yapıyorsanız ancak Veri Koruma Yönergesini dikkate almıyorsanız, yapmanız gereken biraz şey olacaktır. Ama o kadar da kötü olmadığını vurgulayayım.

BrandExtract'ın hizmet verdiği hemen hemen tüm işletmelerde paylaşılan bazı ortak senaryolar vardır. Genel olarak müvekkillerimizi rıza toplamayı veya kişisel verileri yönetmeyi gerektiren durumlardan kesinlikle gerekli olmadıkça uzaklaştırmaya çalışırız. Ama mantıklı olduğu durumlar var. İşte öneriler içeren birkaç özel durum:

Google Analytics

Kaliteli analiz yapmak için bir kullanıcının tam IP adresini toplamanın ve saklamanın gereksiz olduğu, BrandExtract'ın pozisyonudur. IPv4 adreslerinin son sekizlisini ve IPv6 adreslerinin son 80 bitini bırakarak IP adresini anonimleştirmek, Google tarafında kullanıcı tanımlama olasılığını ortadan kaldırmak için yeterlidir.

Bu, GA javascript kitaplığında yerleşik IP adresi anonimleştirme özelliği kullanılarak Google Analytics'te kolayca yapılabilir. Sitenize AB içinden erişip erişmediklerine bakılmaksızın tüm kullanıcılar için basitçe çağrılabilir. IP adresinin anonimleştirilmesi kullanıldığında, Google'ın sunucularına hiçbir tanımlanabilir kişisel veri kaydedilmez.

Ayrıca, web sitenizde Google Analytics çerezinin kullanımını devre dışı bırakmak da mümkündür. Bu, bazı analiz verilerinin kaybolmasına neden olacaktır (nelerin kaybolduğunu görmek için bunu test etme sürecindeyiz). Ancak IP adresini anonim hale getirerek ve çerezi kaldırarak, kullanıcı artık tanımlanamayacağından artık Google Analytics için onay almamız gerekmiyor.

Google Analytics'i çerezlerle kullanmak hala mümkündür, ancak bunu yapmadan önce onay almanız gerekir. Ayrıca Google'ın, uygunluğu sağlamak için bireysel kullanıcı verilerini analitikten kaldırmaya yönelik araçlar vaat ettiğini unutmayın. Bunların 25 Mayıs'a kadar yerinde olması gerekiyor.

Web Sunucusu Günlük Dosyaları

Varsayılan olarak, web sunucunuza gelen tüm istekler günlük dosyalarına kaydedilir. Her kayıt, kişisel veri olarak sayılan kullanıcının IP adresini içerir, çünkü bu, daha sonra tespit edilirse, kullanıcının etkinliğini geriye dönük olarak izlemek için daha sonra kullanılabilir. IP adresi kaydı devre dışı bırakılmalı veya IP adresi anonim hale getirilmelidir.

pardot

Google gibi, sizin denetleyici ve işlemci olmanız Pardot'un konumudur. Pardot'un hizmet sunumu, kullanıcıyı tanımlayabilmeye bağlıdır. Dolayısıyla, web sitenizde Pardot hizmetlerini kullanmayı düşünüyorsanız, kullanıcının verilerini işlemek için yasal bir dayanağınız olmalıdır.

Pardot, kullanıcı verilerini toplamak veya kaldırmak için henüz araçlara sahip değil ve bu araçların son tarihe kadar hazır olmasını beklemiyorlar. Tüm veri talepleri ve unutulma talepleri Pardot'un hizmet masası aracılığıyla yapılmalıdır.

merkez noktası

Hubspot'un hizmet sunumunun bir kısmı, giriş formlarını ve kullanıcı takibini içerir. Kullanıcıları izlemek için başka bir üçüncü taraf sağlayıcı kullanmıyorsanız, Hubspot'un onay toplama mekanizmasını kullanmayı düşünebilirsiniz. Bu yeni özelliğin 25 Mayıs'a kadar devreye girmesi gerekiyor.

Hubspot'a ek olarak başka sağlayıcılar kullanıyorsanız veya kullanıcı verilerini kendi sistemlerinizde saklıyorsanız, kullanıcı verilerinin depolandığı tüm yollar için onay toplamak için kendi mekanizmanızı oluşturmanız gerekir.

Eposta pazarlama

Bir e-posta pazarlama hizmet sağlayıcısı kullanıyorsanız veya kullanıcının e-posta yanıtlarını izlemek için kendi mekanizmanız varsa, e-postayı göndermeden önce onayınız veya yasal bir dayanağınız olmalıdır. E-posta kampanyaları için, veri sahibi ile işleme için yasal bir temel içeren kurulmuş bir ilişkiye ihtiyacınız olacaktır.

Barındırılan Yazı Tipleri ve Diğer Varlıklar

Bu kolay... GDPR konusunda endişeleriniz varsa, web sitenizin yazı tiplerini, javascript kitaplıklarını veya diğer varlıklarını barındırmak için üçüncü tarafları kullanmayın. Belirli bir yazı tipi yalnızca bir üçüncü taraf ana bilgisayar aracılığıyla kullanılabiliyorsa, yalnızca farklı bir yazı tipi kullanın.

Tüm sağlayıcılar, politikalarının değişmediğinden emin olmak için sürekli izleme gerektiren kendi hizmet şartlarına ve uyumluluk seviyelerine sahip olacaktır. Bu güçlük ve riskten kaçınmaya çalışın.

Paylaşım Hizmetleri (ShareThis, AddToAny, vb.)

Korkunçlar, onları kullanmayın. Haber değeri taşıyan GDPR gelişmelerinden önce bile BrandExtract, müşterilerimizi hizmet kılığında bu parazitlerden her zaman uzaklaştırmıştı. Kullanıcılarınızın, web sayfanızı kimsenin duymadığı 47 sosyal ağda paylaşma yeteneğine ihtiyacı yoktur. BrandExtract, işiniz için gerçekten önemli olan tüm büyük platformlarda paylaşım için özel koda sahiptir.

Kişiselleştirme

Bu da kolay. Kıtaya veya ülkeye göre geniş coğrafi konum dışında herhangi bir kişiselleştirme senaryosu, kullanıcı kimliği gerektirir ve kullanıcı iznine sahip olmanız gerekir . Etrafında basitçe bir yol yok.

Kaynaklar

  • Avrupa Komisyonu Web Sitesi
  • GDPR Metni
  • Analytics'te IP Anonimleştirme
  • Analytics Çerezlerini Devre Dışı Bırakma

GDPR düzenlemeleri bunaltıcı olabilir. Umarım, bilmeniz gereken her şeyi pekiştirmemize yardımcı olmuşuzdur. Sitenizin denetimini yapmayı düşündüğünüzde, sohbet etmekten memnuniyet duyarız. GDPR podcast bölümümüzde uzman ekibimizle GDPR hakkında daha fazla ayrıntıya giriyoruz. Markanız için web ve dijital hususlar hakkında daha fazla bilgi için, size yardımcı olacak birkaç ipucu ve kaynak:

  • Sitenizi erişilebilir kılmak için ne gerektiğini öğrenin.
  • Web sitesi güvenliğinin anahtarlarını ve sitenizi nasıl güvende tutacağınızı öğrenin.
  • İlgi çekici (ve dönüşüm sağlayan) bir işletme web sitesinin nasıl oluşturulacağına bir göz atın.