GDPR ABD markalarını nasıl etkileyecek?

Verilerin kullanımı (ve kötüye kullanılması), yasa koyucular ve kanun uygulayıcı makamlar için benzersiz bir zorluk teşkil etmektedir. Geleneksel mal ve hizmetlerden farklı olarak, veri akışları geleneksel uluslararası sınırlara uymaz ve teknolojik değişim hızı, veri gizliliği yasasının her zaman ya aşırı geniş ya da tamamen güncel olmadığı anlamına gelir.

Özellikle düzenleyiciler, kendi bölgelerinde büyük etkisi olan ancak fiziksel olarak başka bir yerde bulunan şirketler için etkili yaptırım uygulamaları geliştirmek için mücadele etti.

Bu, yakın zamanda ABD makamlarının şirketleri istenen bilgileri sağlamaya zorlamalarına izin verecek olan Hukuka Uygun Denizaşırı Veri Kullanımını Açıklığa kavuşturma (BULUT) Yasası'nın hızla atılmasına yol açan mevcut ABD Yüksek Mahkemesi davasının temelindeki temadır . ABD'de veya yabancı ülkelerde bulunup bulunmadıklarına bakılmaksızın sunucularda depolanan veriler.

Benzer şekilde, çoğu kişi, bireylerin verilerinin dış manipülasyonunun potansiyel olarak iç politikaya nasıl müdahale edebileceğini gösteren Cambridge Analytica/Facebook skandalından hala şaşkına dönüyor.

Bu bağlamda, AB'nin yeni çığır açan veri gizliliği mevzuatı olan Genel Veri Koruma Yönetmeliği'nin (GDPR) yalnızca AB'de yerleşik şirketlere değil, aynı zamanda onun dışındaki birçok şirkete gelişmiş veri koruma standartları uygulamaya çalışması belki de şaşırtıcı değildir.

Bu yazıda, GDPR'nin ABD markaları için ne anlama geldiğini ve varsa, hazırlanmak için şimdi hangi adımları atmaları gerektiğini inceliyorum:

GDPR nedir ve AB hukuku ABD şirketlerine nasıl uygulanabilir?

Basitçe söylemek gerekirse, GDPR, kuruluşların bu verileri nasıl topladığını, depoladığını ve işlediğini düzenleyerek AB vatandaşlarının kişisel verilerini korumayı amaçlayan bir AB mevzuatı parçasıdır.

Genel olarak AB dışında yerleşik şirketleri düzenlemeyen önceki Veri Koruma Direktifinin aksine, GDPR, AB'de bulunan veri konularının kişisel verilerinin, işleme faaliyetlerinin şunlarla ilgili olduğu herhangi bir şekilde işlenmesi için geçerlidir: malların arzı veya AB'deki bu tür veri sahiplerine yönelik hizmetler (veri sahibinin ödemesinin gerekli olup olmadığına bakılmaksızın); veya davranışlarının AB içinde gerçekleştiği kadarıyla izlenmesi.

Bu, GDPR'nin yalnızca merkezi ABD'de olabilecek çok uluslu şirketler veya AB'de doğrudan ticari faaliyetleri olan ABD şirketleri için değil, aynı zamanda olmayan birçok ABD şirketi için de geçerli olduğu anlamına gelir. Çevrimiçi bağlamda, GDPR aşağıdaki durumlarda geçerli olacaktır:

• AB'de güçlü bir internet varlığınız var (doğrudan AB'ye satış yapmasanız bile)
• AB para birimlerini kabul eden ve/veya AB alan son ekine (.co.uk, .fr, .de vb.) sahip bir e-ticaret şirketisiniz.
• Herhangi bir AB ziyaretçiniz var ve web sitenizde kişiselleştirme gerçekleştiriyorsunuz.

Bunu yanlış anlamanın bedeli

Yukarıdakilerden herhangi biri kuruluşunuz için geçerliyse, veri işleme uygulamalarınızı dikkatlice gözden geçirmeli ve GDPR'nin çevrimiçi etkinlikleriniz için geçerli olup olmayacağını belirlemelisiniz. Bunun bu kadar önemli olmasının nedenlerinden biri, yeni düzenleme kapsamındaki önemli para cezalarıdır.

GDPR, yeni kurallara uymayan şirketler için ciddi cezalar getiriyor. Para cezaları 20 milyon Euro'ya veya bir kuruluşun dünya çapındaki cirosunun %4'üne kadar çıkabilir - hangisi daha büyükse.

AB düzenleyicilerinin, herhangi bir AB ülkesinde kalıcı bir varlığı olmayan ABD şirketlerine bu cezaları nasıl uygulayacağı hala belirsiz, ancak potansiyel cezaların ölçeği, yalnızca ABD'deki şirketlerin bile yeni kuralları ciddiye alması gerektiği anlamına gelmelidir.

Uyum basit olabilir, ancak yalnızca bir onay kutusu alıştırması değildir

Yaygın inanışın aksine, GDPR'ye uyum, büyük miktarda kaynak olmadan basit bir şekilde sağlanabilir. Ancak, bu basit bir onay kutusu alıştırması değildir ve bazı adımlar, kuruluşunuzdaki birden çok paydaştan girdi gerektirebilir.

Yeni gereksinimlere ilişkin daha ayrıntılı bir kılavuz için, Birleşik Krallık düzenleyicisi GDPR'nin bir özetini yayınladı; bu, bu yeni duruma geliyorsanız harika bir başlangıç ​​noktasıdır. Ancak, AB veri koruma yasasına alışkın olmayan şirketler için GDPR'ye uymak, verilerin kavramsallaştırılmasında da temel bir değişiklik gerektirebilir:

1.) Kişisel veriler vs PII

GDPR kapsamındaki "kişisel verilerin" tanımı, ABD'deki benzer "kişisel olarak tanımlanabilir bilgiler" (PII) kavramından çok daha geniştir.

ABD'de anlaşıldığı şekliyle PII, tipik olarak ad, sosyal güvenlik numarası, doğum tarihi ve yeri ve biyometrik, tıbbi, eğitim, finans ve istihdam kayıtları gibi tanımlayıcılarla sınırlıdır. Buna karşılık, AB'deki kişisel veriler, tanımlanmış veya tanımlanabilir bir gerçek kişi veya "veri konusu" ile ilgili herhangi bir bilgi anlamına gelir. Bu, ABD'deki PII tanımına dahil olan tanımlayıcıları kapsar ve ayrıca e-posta adresi, tanımlama bilgisi kimliği, IP adresi, tarama alışkanlıkları, konum verileri vb. gibi çevrimiçi tanımlayıcıları içerir.

Uygulamada, kişisel verilerin bu geniş tanımı, bu tür kişiselleştirme bir kullanıcının çerez kimliğine veya IP adresine dayalı olarak yalnızca temel analiz kullanımını içerse bile, web sitesi kişiselleştirme gibi etkinliklerin GDPR tarafından yakalandığı anlamına gelir.

2.) Veri Koruma İlkeleri ve rıza

GDPR, işletmelerin kişisel verileri toplama ve kullanma konusunda meşru bir menfaati olduğunu kabul eder (örneğin, ziyaretçilerin bir şirketin web sitesiyle nasıl etkileşime girdiğini anlamak amacıyla). Ancak bunu yaparken şirketlerin veri sahibine karşı şeffaflığı sağlamak gibi belirli “veri koruma ilkelerine” uymaları gerekmektedir.

Ek olarak, verilerinin toplanabilmesi için bir ziyaretçinin onayının gerekli olduğu zamanlar olabilir; bu, GDPR kapsamında yalnızca bir çevrimiçi gizlilik bildirimine atıfta bulunmaktan fazlasını gerektirir. GDPR, zımni rıza ve önceden işaretlenmiş kutuları ortadan kaldırır ve veri sahibinin kendilerinden rıza göstermeleri istenen şeyi tam olarak anladığını ve kabul ettiğini gösterme sorumluluğunu şirketlere yükler.

3.) Mülkiyet

Bir web sitesinden toplanan tüm verilerin tipik olarak o web sitesinin sahibine ait olduğu düşünülen ABD'den farklı olarak, AB'de kişisel veriler ilgili veri sahibine aittir. Buna göre, söz konusu kişi, verilerinin nasıl işlendiğini kontrol etme hakkına sahiptir; bu, GDPR kapsamındaki veri öznelerinin erişim, kopyalarını alma ve şirketlerden verilerini silmelerini isteme haklarına yansıyan kapsamlı haklara yansır. Şirketlerin bu tür taleplere katı son tarihlere göre uyması veya yerel düzenleyicilerin potansiyel olarak ciddi yaptırım eylemleriyle karşı karşıya kalması gerekir.

Benzer şekilde, üçüncü tarafların dahil olduğu durumlarda çok daha katı gereksinimler de getirilmiştir. Özellikle veri sahiplerine, verilerinin hangi şirketlerle paylaşıldığı konusunda bilgi verilmelidir ve kuruluşlar yalnızca uygun düzeyde veri güvenliğini garanti edebilecek üçüncü taraflarla bağlantı kurabilir. Bu, GDPR'nin içerik gereksinimlerini karşılayan özel sözleşme evraklarıyla kanıtlanmalıdır. Bu kavramsal farklılıkları anlamak, GDPR'ye uymak isteyen şirketler için anahtar olacaktır.

toparlamak

GDPR, yalnızca AB'de değil, tüm dünyada şirketlerin verilerle etkileşim biçimini değiştirecek. ABD markaları, özellikle internet üzerinde güçlü bir varlığı olanlar, veri işleme uygulamalarını dikkatlice gözden geçirmeli ve GDPR'nin çevrimiçi etkinliklerine uygulanıp uygulanmayacağını belirlemelidir. Yeni düzenleme kapsamında önemli cezalardan kaçınmak için herhangi bir endişe, GDPR'nin yürürlük tarihinden çok önce bir danışmanla görüşülmelidir.