Privacy Agreement - A Practical Guide to Data Protection and Compliance

Öneri: Bilgiye erişimi olan tüm tarafların derhal envanterini çıkarın; her bir bilgi akışına ne olduğunu ayrıntılarıyla gösteren bir rol haritası oluşturun.

Bu makale, bilgi aktarımının meşru kabul edildiği durumları açıklığa kavuşturmaktadır; Avrupa ülkelerindeki kullanıcıların rolünü, devletlerin amaçlarını, ticari kuruluşların görevlerini ana hatlarıyla belirtmektedir.

Paylaşılan çerçeve, birden fazla aktöre dayanmaktadır; bilgiye erişimi olan taraflar, hangi önlemlerin riski azalttığını açıklamalıdır; onlar, AB yargı yetkisine sahip devletlerdeki paylaşılan akışlara ne olduğunu belgelemelidir.

Bu özel durum, düzeltme talepleri için açık, operasyonel bir politika gerektirmektedir; en olası yol, iddiaları doğrulamayı, kayıtları güncellemeyi ve paydaşları derhal bilgilendirmeyi içerir.

Sınır ötesi ortamda, aktarım kontrolleri Avrupa direktifleriyle uyumlu olmalıdır; taraflar erişimin nasıl sınırlandırıldığını, paylaşımın neye benzediğini ve hakların nasıl kullanılacağını yayınlamalıdır.

Özgürlüğün pratikte ne anlama geldiği basittir: minimum bilgiye maruz kalmayı seçin, erişimi sınırlayın, zamanında düzeltme sağlayın; çoğu değişiklik kaydedilmeli ve süreç içinde izlenebilir olmalıdır.

Avrupa iş ekosistemi, devletler olaylardan öğrenilenleri paylaştığında fayda sağlamaktadır; bu makale, ilgili tüm taraflar için operasyonları verimli tutarken güvenlik önlemlerinin nasıl ayarlanacağını vurgulamaktadır.

İzinlere, erişim kontrolüne, düzeltme haklarına, şeffaf aktarıma odaklanmak, yönetimi, kullanıcı özerkliğine saygılı, ölçülebilir, uygulanabilir bir şeye dönüştürmektedir.

Pratik Temeller: Gerçek Dünya Gizlilik Uyumluluğu için Nelerin Dahil Edilmesi Gerekir

SaaS ekosisteminizde kişisel bilgilere dokunan her şeyin açık bir envanteriyle başlayın. Toplama, kullanma, depolama, paylaşma ve saklamayı, açık aşama etiketleri ve sorumlu kurumlarla eşleyen bir bölüm oluşturun. Harici ortaklar bilgileri görebilir veya işleyebilir olduğundan, paylaşımın nerede ve kiminle gerçekleştiğini işaretleyin ve her eylemin yasal dayanağını kaydedin. Burada, percepta rehberliği, verilen ad ve denetime kolay bir canlı kayıt haline getirilen diğer kategoriler gibi öğeleri yapılandırmaya yardımcı olmaktadır.

Her bilgi kategorisi için gerekli temeller için kurallar tanımlayın: hizmeti yürütmek için toplamanın neden gerekli olduğunu, hangi amaçlara hizmet ettiğini ve saklama sürelerini açıklayın. Gerekçeyi doğrulamayı kolaylaştırın; rıza veya sözleşmeden kaynaklanan gerekliliğin nerede uygulandığını belirtin.

Her aşama için pratik bir kontrol listesi bulunmaktadır: verilen ad, e-posta ve tercihler gibi kategorileri kapsayın; işlemeyi notlarla onaylamak için onay kutuları ve ilgili perceptalara hızlı bir bağlantı yerleştirin.

İnsanların tek bir yerde okuyabileceği halka açık bir bölüm sağlayın ve burada haklarını kullanabilirler: nasıl görüntüleyebilir, değişiklik talep edebilir veya rızayı geri çekebilirler; sürecin zaman alıcı olmadığından emin olun.

Satıcı yönetimi: SaaS ortakları seçerken, paylaşılan sorumlulukları, güvenlik kontrollerini ve olay adımlarını tanımlayın; percepta ile uyumlu etiketleme ve bilgi akışları için net bir eyalet haritası gerektirin; bir perceptas ekini ekleyin.

Yönetimi dinamik tutun: belirli bilgi akışlarına sahip kuruluşlar atayın; üç ayda bir incelemeler yapın; güncellemeler için tek bir yer tutun; yeni kategoriler eklemek basit olmalı; sistemin denetlenebilir olması ve ekipler arasında uygulanması gerekmektedir.

Uygulama ipuçları: çalışmaları aşamalara ayırın, sahipler atayın, etiketlemeyle entegre edin, bilgi ve eyaletlere göre etiketlemek için SaaS yönetim araçlarını kullanın; her şeyin yararlı olduğundan ve her eyalette hızlı başvuru için buraya yerleştirildiğinden emin olun.

Roller ve Sorumluluklar: Uygulamada Veri Denetleyicisi ve Veri İşleyicisi

Birincil bilgi denetleyicisini seçin ve ilgili tarafları, işleme eylemlerinin kapsamını ve işlemenin maddi temelini açıkça belirten ve bir fesih planı içeren bağlayıcı bir sözleşmeyle bağlayın. Sözleşme biçimi, yasal yükümlülükleri yansıtmalı ve ekipler arasında hesap verebilirliği desteklemelidir.

• İlgili kuruluşları tanımlayın: denetleyici(ler) ve işleyici(ler). Amaçlara kimin karar verdiğinin ve eylemleri kimin yürüttüğünün açık olduğundan emin olun.
• Amaçları, yasal dayanakları ve rıza ayrıntılarını belirtin; bireylerin rızası temel alınıyorsa, rızayı belgeleyin ve kayıtları tutun; aksi takdirde, gerekçelendirme ile yasal olarak dayanaklı amaçlara güvenin.
• Bilgi kategorilerini (sağlık bilgileri, çevrimiçi tanımlayıcılar ve çerezle ilgili tanımlayıcılar dahil) ve kaynakları tanımlayın; bu, ekiplerin riski denetlemesine ve bireylerden gelen istekleri işlemesine yardımcı olmaktadır.
• Eylemleri gerekli olanlarla sınırlayın: işleme, depolama, alma, iletme, toplama; her eylem belgelenmeli ve haklı gösterilmelidir.
• Sözleşmeden doğan görevler: işleyiciler güvenlik kontrollerini sürdürmeli, denetleyiciyi olaylardan haberdar etmeli, fesih üzerine bilgileri iade etmeli veya silmeli ve bildirimde bulunmadan ve onay almadan alt sözleşme yapmaktan kaçınmalıdır.
• Güvenlik kontrolleri: erişim yönetimi, şifreleme, sözde anonimleştirme ve düzenli test; denetleyiciler tedarikçileri denetlemeli ve sertifikaları doğrulamalıdır.
• Yasal uyum: Avrupa kurallarına uyun; denetleyiciler yasal transferleri sağlamalı ve sınır ötesi akışları tanımlamalıdır; işleyiciler taleplere yardımcı olacak ve yetkililerle işbirliği yapacak mekanizmalar uygulamalıdır.
• Haklar ve talepler: bireylerin erişim, düzeltme, silme işlemlerini nasıl kullanabileceklerini belirtin; denetleyiciler tanımlı zaman dilimleri içinde yanıt vermelidir; işlemciler bu süreçte yardımcı olmaktadır.
• Belgelendirme: işleme faaliyetlerinin kayıtlarını tutun; açık bir biçim tutun; aşırı toplamadan kaçının; maddi ihtiyaca odaklanın.
• Fesih planlaması: fesih üzerine bilgileri silin veya iade edin; eylemi belgeleyin; fesih sonrasında onlara erişilebilir hiçbir şeyin kalmadığından emin olun.

Günlük çalışma için pratik adımlar:

1. Çevrimiçi platformlarda, çerez bildirimlerinin ve rıza akışlarının seçimleri açıkça yansıttığından emin olun; denetleyiciler açık bildirimler sağlar ve bireylerin seçim yapmasına izin verir; işlemciler bu seçimlere uymalı ve saklamayı en aza indirmelidir.
2. Bireylerden gelen istekler için, isteği belirlemek, almak ve yanıtlamak için standart bir şablon uygulayın; hesap verebilirlik için günlükleri tutun; yasal süre sınırlarına uyulduğundan emin olun.
3. Harici hizmetler satın aldığınızda, satıcıları güvenlik standartlarına göre değerlendirin; bir bilgi işleme ilavesi ve gösterilebilir kontroller gerektirin; fesih yükümlülüklerini yerine getirme yeteneklerini doğrulayın; üçüncü tarafın yalnızca belgelenmiş talimatlara göre işlem yaptığından emin olun.
4. Denetim döngüleri: incelemeler planlayın; Salı sabahları iyileştirme eylemlerini takip edin ve kayıtları güncelleyin.
5. Sınır ötesi transferler: standart sözleşme maddelerine veya diğer yasal transfer önlemlerine güvenin; transferlerin yasal olarak güvence altına alındığından ve üçüncü ülke rejimlerinin izlendiğinden emin olun.

Bu adımlar, ilgili denetleyicileri ve işleyicileri belirlemenize, açık sorumluluklar atamanıza ve Avrupa çerçevelerine uyum sağlamanıza yardımcı olmaktadır. Belirli bir düzenlemeden emin değilseniz, yasal olarak bağlayıcı koşulları doğrulamak ve her eylemin rıza dinamikleri ve güvenlik beklentileri ile uyumlu olduğunu onaylamak için danışmanlık alın.

İşleme için Yasal Dayanaklar: Rıza, Sözleşme, Yasal Yükümlülük veya Meşru Menfaatler Seçimi

Öneri: Her bir web sitesi ve SaaS sistemlerindeki işleme kategorisine tek bir yasal dayanak atayın: yüksek riskli işlemler için rızaya güvenmek; bir hizmeti yerine getirmek için işlemenin gerekli olduğu durumlarda sözleşmeyi kullanın; yasaların gerektirdiği durumlarda yasal yükümlülüğü uygulayın; veya amaç dengeli olduğunda ve kontroller yerinde olduğunda meşru menfaatlere güvenin.

Her site için bir kategori ve bir akış haritası ekleyerek canlı bir kayıt uygulayın. Web sitelerinde ve SaaS dağıtımlarında, en son rehberliğe ve standartlara referanslar ekleyin. Her giriş için alanları içerin: amaç, gerekçe, bildirimlerde kullanılan dil ve üçüncü taraflar dahil olmak üzere alıcılar. Taleplerle ilgili açık bir işlem yayınladığınızdan ve geçerliyse rıza geri çekilmesini etkinleştirdiğinizden emin olun. Onları her ekipte ve devlette özel, kararlaştırılan bir biçimde ve hesap verebilirlik ve aktarım kontrollerine odaklanarak güncel tutmak.

Her işleme faaliyeti için en uygun temeli tanımlayın: kişisel bilgilerle bir sözleşmenin parçası olarak ilgileniyorsanız, sözleşmeyi seçin; eğer yasal bir gereklilik geçerliyse, ilgili yasa kapsamında yasal olarak belirtin; veya etkinin düşük olduğu ve itiraz etme özgürlüğünün korunduğu durumlarda meşru menfaatlere güvenin. Bağlama bağlı olarak, amaç sona erdiğinde aktarım güvenlik önlemlerini ve fesih tetikleyicilerini uygulayın. Temel düzenlemeler mutabık kalınan tarafları içerdiğinde, bu temelleri biçime gömün ve amaçların, saklama zaman çizelgelerinin ve alıcı kategorilerinin açık bir açıklamasını ekleyin; devlete ait yargı yetkisi altında ve hesap verebilirliğin belgelendiğinden emin olun.

Kapsam sürünmesi ve işlemeyi kısıtlama talepleri gibi sorunları öngörün. Doğrulama adımları ve zaman çizelgeleri dahil olmak üzere talepleri ele almak için açık bir süreç sağlayın. Kullanıcının bilgilerin nasıl kullanıldığını etkileme özgürlüğüne saygı duyun; durum değişikliklerini belgeleyin ve geri çekilmenin devam eden paylaşımı nasıl etkilediği de dahil olmak üzere denetlenebilir bir izle hesap verebilirliği koruyun.

Politika geliştirme için bir percepta çerçevesine başvurun ve yasal, güvenlik ve mühendislik ekiplerinden dahili yetenekleri dahil edin. Anlaşılması kolay şablonlar kullanın, bir indirme seçeneği sunun ve bildirimlerin kullanıcının tercih ettiği dilde sağlandığından emin olun. Talepleri, geri çekilmeyi ve aktarım yollarını kaydederek hesap verebilirliği koruyun ve ekipleri hizalı tutan ve en son eyalet gereksinimleri ile güncel tutan rehberliği ekleyin.

Veri Kapsamı ve En Aza İndirme: Kategorileri, Saklamayı ve Amaç Sınırlamasını Tanımlayın

Tüm bilgi kategorilerini haritalandırarak ve kategori başına katı bir saklama süresi atayarak başlayın; her öğe için amaçları belirtin ve saklamanın gerekli olup olmadığını belirleyin. Hangi personelin ve işlemcilerin erişimi olduğunu belirleyin ve hesap verebilirliği sağlamak için ortak bir iş akışı oluşturun; burada tutulan minimum bilgiyi işaretleyebilir ve gerekenin ötesinde herhangi bir şey toplamaktan kaçabilirsiniz.

İkinci aşama: termlys benzeri çizelgeleri kullanarak saklama kontrolleri uygulayın; kategori başına maksimum bir terim belirleyin ve sona ermeden sonra otomatik silme veya anonimleştirme uygulayın. Sona ermeyi belirtilen amaca ve kullanıcı bildirimlerine bağlayın; bu, denetimleri basitleştirir ve müşteriler için riski azaltır.

Amaçlar dar kalmalıdır; bilgileri yalnızca belirtilen amaçlar için depolayın veya kullanın; ikincil bir kullanım ortaya çıkarsa, yeni bir yasal dayanak belirtin veya gerektiğinde geri çekme elde edin. Şüpheniz varsa, bütünlüğü koruyan en katı yaklaşımı seçin.

Erişim kontrolleri: erişimi personel ve işlemcilere, denetlenebilir bir günlük ve net rollerle birlikte gereken en küçük kümeye kısıtlayın. Sızıntıyı önlemek için ortak işlev sınıflandırması kullanın; müşteriler ve bireylerle iletişim kanallarının sorular için mevcut olduğundan emin olun ve onlarla buradan iletişime geçin.

Yasal dayanaklar: her amaç için rıza, sözleşme veya yasal yükümlülüğün geçerli olup olmadığını belirleyin; bilgilerin neden meşru olarak ele alındığını belirtmek için her kararı belgeleyin; hesap verebilirliği göstermek için gdprpart uyumlu bir denetim izi tutun.

Çerezler ve çevrimiçi izleme: rıza durumlarını ve kullanıcı geçişlerini belirtin; geri çekmek için tıklama mekanizmaları sağlayın; kolayca anlaşılabilir bir dil sunun; kullanıcıların sürtünme olmadan geri çekme yapabildiğinden emin olun; bu kontrolleri müşterilerin ve personelin ihtiyaçlarıyla uyumlu hale getirebilirsiniz.

Kaynak: ICO minimizasyon rehberliği.

Haklar Yönetimi: Erişim, Silme ve Veri Taşınabilirliği İsteklerini İşleme

Basit durumlarda 15 iş günü içinde ve karmaşık durumlarda 30 güne kadar süren erişim, silme ve taşınabilirlik isteklerini işlemek için merkezi bir iş akışı benimseyin; kimliği en az iki faktör kullanarak doğrulayın ve bireyin başka bir sağlayıcıya taşıyabileceği indirilebilir bir biçimde bir dışa aktarım sağlayın.

• Erişim istekleri
  • Uygulamalar veya çevrimiçi portallar aracılığıyla kimlerin başlayabileceğini tanımlayın: bireyler, kuruluşlar ve yetkili temsilciler.
  • Kimliği devlet kurumlarına veya ajans kayıtlarına karşı doğrulayın; gerekli kontroller sistemde günlüğe kaydedilmelidir.
  • Elde tutulan bilgileri, son güncellemeyi ve güvenli bir kanal kullanarak nasıl indirileceğini ayrıntılarıyla açıklayan bir raporla yanıtlayın.
  • Başka bir sisteme taşımaya izin vermek için yaygın biçimlerde (CSV, JSON, XML) taşınabilir bir dışa aktarma sunun; saklama ve işleme geçmişi meta verilerini ekleyin.
• Silme istekleri
  • Bilgileri aktif sistemlerden ve yedeklemelerden saklama pencereleri içinde veya yasalara göre kaldırmak için resmi bir iş akışı uygulayın; kalan kopyalar için kapsamı belgeleyin.
  • Bir onay alındı belgesi sağlayın ve silme sonrası durum güncellemeleri için beklentileri belirleyin; belirli bir süre için günlükleri saklama yükümlülüklerini not edin.
  • Çerezlerin ve çerezle ilgili günlüklerin temizlenmesi, talep üzerine kapsam dahilinde olmalı ve kullanıcılara yönelik açık açıklamalarla birlikte yapılmalıdır.
• Taşınabilirlik istekleri
  • Alıcı sisteme bir dışa aktarım ve bir geçiş yolu hazırlayın; alıcının bilgileri satıcı kilidi olmadan taşıyabildiğinden emin olun.
  • Standartlarla uyum sağlamak için SaaS, çevrimiçi hizmetler ve yazılım ekosistemlerinde birlikte çalışabilir biçimleri destekleyin.
  • Herhangi bir kısıtlama (örneğin, üçüncü taraf bileşenleri) hakkında bildirimde bulunun ve teslimat zaman çizelgeleri sağlayın; alıcı tarafında entegrasyona yardımcı olun.
• Doğrulama, kayıtlar ve yönetişim
  • Her isteğin doğrulanabilir bir günlüğünü tutun: istekte bulunanın kimliği, işlemcinin işlenmesi, gerçekleştirilen eylemler ve son eylem zamanı.
  • gdprpart ve yasalara uyumu gösterin; gerektiğinde devlet kurumları, percepta, termly ve benzeri denetimlerine hazırlanın.
  • Özel bir işlemci veya ekip atayın; yüksek riskli vakalar için ilgili kuruluşları ve ajansları dahil edin.
• Operasyonel hususlar
  • Silmenin yasal yükümlülüklerle ve son izin verilen saklama tarihiyle uyumlu hale gelmesi için saklama çizelgelerini inceleyin.
  • Sistem günlüklerinin her istekle ilgili faaliyetleri yakaladığından ve düzenleyici soruşturmaları için kanıt sakladığından emin olun.
  • Açıklanan çerez verilerini en aza indirmek ve kullanıcılara yapılan açıklamaları açıklığa kavuşturmak için çerez politikalarını yeniden gözden geçirin; çerezler şeffaf bir şekilde yönetilmelidir.

Satıcı ve Sınır Ötesi Kontroller: Sözleşmeler, SCC'ler, DPIA'lar ve Transfer Güvenlikleri

Sınır ötesi bilgi işleme için Standart Sözleşme Maddelerini (SCC'ler), DPIA'ları ve transfer güvenliklerini içeren yazılı bir sözleşme paketi yazın. İşlemcilerin rolünü atayan, gizli yükümlülükler gerektiren ve üye kuruluşlar tarafından ortak gözetimi sağlayan yasal standartlara dayalı bir çerçeve seçin. Bir sonraki güncelleme, yargı yetkileri değiştiğinde veya yeni ortaklar hizmete katıldığında gerçekleşmeli ve bilginin yasal olarak akmasını ve uyumlu kalmasını sağlamalıdır. Bu paket, çeşitli büyüklükteki kuruluşlar tarafından benimsenmiştir ve operasyonel sürekliliği korurken riski azaltmaya yardımcı olmaktadır. Tüm taraflar için açık amaçlar, koşullar ve eylemler sağlamakta ve talepleri ve denetimleri ele almak için gerekli prosedürleri içermektedir.

Eklenmesi gereken temel terimler, maddelerin sınırlar ötesi bilgi hareketine uygulanmasını, ilgili hizmet faaliyetlerini ve tüm kontrollerin yazılı biçimini içermektedir. Yazılı koşullar, işlem koşullarını, bilgilere erişim veya bilgileri düzeltme haklarını ve güvenlik önlemlerinin başarısız olması durumunda mevcut olan çözümleri belirtmelidir. Standartlar, gizli işlem yapılmasını, uygulanabilir olduğunda ortak yönetişimi ve ekosistemin tüm üyeleri tarafından anlaşılan prosedürleri gerektirmektedir.

Yüksek riskli faaliyetler için DPIA'lar yapılmalı ve sonuçları prosedürlere entegre edilmelidir. Sorumlu taraf belirlenmeli ve değerlendirme düzenli olarak güncellenmelidir. Taleplere yanıt verme ve bunları tanımlanmış zaman dilimleri içinde işleme hükümlerini ekleyin. Bu tür hükümler, yasal temelli hesap verebilirliği güçlendirmekte ve yetkililerle olan sorunları daha az sürtünmeyle çözülmesini sağlamaktadır.

Transfer güvenlikleri, SCC'lere ek olarak şifreleme, erişim kontrolleri ve sözde anonimleştirme gibi ek önlemlere dayanmaktadır. Paydaşları transfer rotasındaki veya varış ülkesinin durumundaki değişiklikler hakkında bilgilendirmek için bir açılır uyarı mekanizması ekleyin. Yasal dayanağı onaylayın ve varış noktasının yeterli koruma sağladığından emin olun; risk seviyeleri yükselirse eylem adımlarını ana hatlarıyla belirtin. Bu çerçeve, hizmet faaliyetlerinde standartları korurken güvenli sınır ötesi bilgi paylaşımını sağlayarak net faydalar sunmayı amaçlamaktadır.