Geçtiğimiz yıllarda, web önemli ölçüde daha fazla sosyal hale geldi ve şirketler ile kullanıcılar arasında iletişimi çok daha kolay hale getirdi. Aynı zamanda, "gizlilik" gibi terimler, kamuya açık paylaşılan kişisel verilerin bolluğu nedeniyle birçok durumda göz ardı edilmiştir.
Kullanıcılar web'in içerik üretimine dinamik olarak katkıda bulunur ve genellikle kişisel verilerinin gerçek ürün haline geldiği bir "oyuna" dahil olurlar. Bir kullanıcının kişisel bilgilerinin herhangi bir özel koruma olmadan kamuya açıklanabilecek bilgiler olduğunu yanlış anlaması alışılmadık bir durum değildir.
Son zamanlarda, Avrupa Birliği kişisel veri koruma alanında kuralları güncelledi. Tarihsel olarak, Veri Koruma Direktifi (Direktif 95/46 / EC) Avrupa Birliği içindeki kişisel verilerin işlenmesini düzenlemiştir. Ancak, Nisan 2016'da, 20 yıl sonra, Avrupa Parlamentosu, GDPR (Genel Veri Koruma Yönetmeliği) adlı yeni bir yasayı onayladı. GDPR, mevcut direktifte önemli güncellemeler sağlar, ancak daha geniş bir kapsama sahip olacak ve veri denetleyicileri ve veri işlemcileri için birkaç yeni gereksinim getirecektir. 25 Mayıs 2018 tarihinden itibaren geçerli olacak ve o tarihte AB'de faaliyet gösteren tüm şirketlerin, nerede olursa olsun, bunlara uymaları beklenmektedir.
Kişisel verilerin korunmasının önemini anlatmak ve kullanıcılara bu konuda bilgiler aktarmak için, yeni düzenlemenin kişisel verileri işleyen işletmeleri nasıl etkileyeceğine dair genel bir bakış açısı ile inceleyelim. Tüzüğün uygulanabilirliğini analiz etmeye başlayalım: "Kişisel Veriler" ve "Verilerin" tanımını, ilgili oyuncuları ve bölgesel kapsamı belirleyeceğiz.
Kişisel Veriler ve İşlenmesi
1. "Kişisel Veriler" Nedir?
Yönetmelik bize halihazırda Kişisel Verilerin tanımını vermektedir: Madde 4 (1): "kişisel veriler", tanımlanmış veya tanımlanabilir bir gerçek kişi ile ilgili herhangi bir bilgi anlamına gelir ('veri konusu'); Tanımlanabilir bir gerçek kişi, bir isim, bir kimlik numarası, konum bilgisi, çevrimiçi bir tanımlayıcı veya fiziksel, fizyolojik özel bir veya daha fazla faktör gibi bir tanımlayıcıya, özellikle doğrudan veya dolaylı olarak tanımlanabilen kişidir. O gerçek kişinin genetik, zihinsel, ekonomik, kültürel veya sosyal kimliği.
Çoğunlukla 95/46 / EC sayılı Direktife dayanan (hala etkili olan) tanım, birey için daha iyi bir koruma sağlamak amacıyla kasıtlı olarak geniştir. Gerçekten: - “herhangi bir bilgi” ifadesi halihazırdaki ifadenin geniş bir yorumunu gerektirmektedir.
Bilginin niteliği açısından, bir kişi hakkındaki her türlü ifadeyi kapsar: "nesnel" bilgi (kan grubu gibi) ya da "öznel" bilgiler (görüş ya da değerlendirme gibi), Yanlış bile olabilir (bu sebeple Yönetmelik, diğerlerinin yanı sıra, düzeltme hakkı sağlamaktadır).
İçerik-bilgi, bireyle ilgili her şeyi içerebilir: aynı zamanda aile hayatı, çalışma ilişkileri, ekonomik ya da sosyal davranışlar.
Bu bilginin içerildiği format veya ortam göz önünde bulundurulduğunda, tanım teknoloji nötrdür: herhangi bir formda mevcut olan bilgileri içerebilir, alfabetik, sayısal, grafiksel, fotografik veya akustik olabilir ve tabii ki, bir bilgisayar belleğinde saklanan bilgiler Örneğin ikili kod veya video. Öte yandan, bilginin, yapısal bir veritabanında veya dosyada yer aldığı kişisel veriler olarak görülmesi gerekli değildir.
Ayrıca, elektronik bir belgede serbest metinde yer alan bilgiler, kişisel verilerin tanımlanmasında diğer ölçütlerin yerine getirilmesi koşuluyla kişisel veriler olarak nitelendirilebilir. E-posta, örneğin, 'kişisel veriler' içerebilir.
Ayrıca, biyometrik verilere parmak izleri, retina şekilleri, yüz yapısı, sesler, aynı zamanda el geometrisi, damar görüntüleri veya hatta derinden beslenmiş bazı beceri veya el yazısı imzası, tuş vuruşları gibi diğer davranışsal özellikler için özel referans yapılmalıdır. Biyometrik verilerin bir özelliği, hem belirli bir bireyle ilgili bilginin içeriği hem de tek bir bilgi parçası ile bireyin ("tanımlayıcılar"), yani tartışacağımız kişi arasında bir bağlantı kurmak için bir unsur olarak düşünülebilmesidir.
- Kişisel Veriler, gerçek bir kişi ile "ilişkili" olmak zorundadır: genel olarak, bir bireyle ilgili olduğunda bireyle ilgili olarak "ilişki kurmak" için bilgi düşünülebilir. İlk bakışta, bu senaryonun tanınması kolaydır. Bununla birlikte, bazı durumlarda, veriler tarafından aktarılan bilgiler, bireyler değil, ilk örnekte bulunan nesnelerle ilgilidir. Bu nesneler genellikle bir kimseye aittir veya bireyler tarafından ya da bireyler üzerinde belirli bir etkiye maruz kalabilir ya da bireyler diğer nesnelerle bir tür fiziksel ya da coğrafi yakınlığı koruyabilir. O zaman, dolaylı olarak, bilginin bu bireylerle veya bu nesnelerle ilgili olduğu düşünülebilir.
- "Doğal insan": insan olarak amaçlanmak. Tüzel kişilere (yani bir Şirket) ilişkin bilgiler prensipte Yönetmelik kapsamında değildir ve bu belgenin verdiği koruma geçerli değildir. Bununla birlikte, tüzel kişilerle ilgili bu bilgiler, bu makalede daha önce açıklanan kriterlere uygun olarak, gerçek kişilerin kendi haklarına göre "gerçek kişiler" olarak kabul edilebileceği sürece, bazı veri koruma kuralları hala dolaylı olarak uygulanabilir.
- Doğal Kişinin "Tanımlanması" gerekir. Tanımlama, normal olarak, "tanımlayıcılar" olarak adlandırabileceğimiz ve özel bir kişi (boy, saç rengi) ya da hemen algılanamayan kişinin kalitesi (meslek, işlev) ile özellikle ayrıcalıklı ve yakın bir ilişkide olan belirli bilgi parçalarıyla elde edilir, isim vb.
Direktif, "tanımlayıcıları" kişisel veriler tanımında (açık listede olduğu gibi) ve daha sonra "çevrimiçi tanımlayıcılara" atıfta bulunarak Yönetmelikte belirtmektedir. Gerçekten de, Yönetmeliğe göre, potansiyel olarak tanımlanmanın iki yolu vardır. Biri doğrudan, diğeri dolaylı olarak: bu ifadenin şartları, belirli tanımlayıcıların tanımlamaya yetecek kadarının belirli bir durumun bağlamına bağlı olduğunu açıkça belirtmektedir: Bir kişinin tam adı açık bir olası tanımlayıcıdır. Bir kişi, farklı tanımlama unsurlarının bir kombinasyonu da dahil olmak üzere diğer bilgilerden de tanımlanabilir.
Bu gerçekten çok sayıda potansiyel tanımlayıcıdır. Örneğin, yukarıda belirtilen çevrimiçi tanımlayıcıyı ele alalım: Örneğin, web analizi ve reklamcılıktan birçok amaç için çeşitli şekillerde bulunan çerezlerle birlikte bir çerez olabilir.
Çevrimiçi tanımlayıcıların diğer formları, gerçek kişilerin, (kasten tam kapsamlı değildir) çevrimiçi tanımlayıcılarla tanımlanabileceği açıklığa kavuşturulduğu..
"Cihazlar, Uygulamalar, Araçlar ve protokoller, IP (İnternet Protokolü) adresleri, Çerez tanımlayıcıları veya benzeri, Radyo Frekansı Tanımlaması (RFID) etiketleri."
Tüm bu çevrimiçi tanımlayıcılar, benzersiz tanımlayıcılar ve / veya sunucular tarafından alınan diğer bilgiler ile birleştirildiğinde, veri konularının profillerini oluşturmak ve bunları tanımlamak için kullanılabilir. Olası tanımlayıcıların büyüklüğünü göstermek için çevrimiçi tanımlayıcılar seçtik, ancak olası bir tanımlayıcıyı, diğer bir deyişle, bir veri konusunu ilgilendiren herhangi bir şeyle ilgili olarak, bahsedilen tüm diğer faktörler açısından çok büyük olduğunu hayal edebilirsiniz.
Sektörünüze ve (işletme) faaliyet alanınıza bağlı olarak, bu konudaki veri konularının mahremiyetiyle ilgili olabilecek faktörlere bakmanız gerekir. Dahası, araçların gerçek kişiyi tanımlamak için makul olarak kullanılmasının muhtemel olup olmadığının belirlenmesi için, mevcut teknolojiyi göz önünde bulundurarak, tanımlama için gerekli olan zaman ve maliyet miktarı gibi tüm nesnel faktörlerin hesaba katılması gerekmektedir. İşleme ve teknolojik gelişmelerin. Hatırlanması gereken en önemli nokta, belirtilenler gibi tanımlayıcıların kişisel veri olarak kabul edilmesidir, çünkü benzersiz tanımlayıcılarla birlikte bir veri öznesinin tanımlanmasına yol açabilirler (aslında çevrimiçi tanımlayıcılar, yine diğer tanımlayıcılarla birlikte olabilirler ve fiili olarak) profilleme için kullanılır.
Genetik veriler, açık bir şekilde, 34. sayımda okuyabileceğiniz gibi kişisel veriler olarak kabul edilmektedir. Ayrıca, genetik veriler hassas veriler olarak kabul edilir ve özel korumaya layıktır. Aynı durum, genetik verilerden elde edilen bilgilerin yer aldığı kişisel sağlık verileri için de geçerlidir, ancak GDPR'ın altında yer alan sağlık hizmetleriyle ilgili kişisel verilerin çeşitli formlarını özetleyen GDPR'ın 35. Resitalinde açıklandığı gibi, daha da ileriye gider ve özel koruma kuralları vardır. Yani altın kural: bağlam önemlidir. Daha fazla veri bir araya getirilir ve toplanır, kişisel veriler ne kadar önemli olursa o kadar da zorlaşır ki, riskleri ve sorumlulukları - ve potansiyel GDPR cezaları vardır, daha fazla tanımlamak daha da zorlaşır. Bazen bir e-posta adresi birini tanımlamak için yeterli olabilir.
Son olarak, fakat en azından AB GDPR'ı anonim verileri kapsamamaktadır. Bununla birlikte, sözde takma isim verilmiş kişisel verileri de kapsamaktadır, çünkü diğer güvenlik ve analitikler arasında sıklıkla kullanılan 'taktik' ifadesi tersine çevrilebilir ve anonim verilerin tersine tanımlanabilir bir gerçek kişiye geri izlenebilir. Ancak, şifreleme ile birlikte GDPR'ın "riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemler" olarak önerdiği yöntemlerden biridir.
2. Kişisel Verilerin ve Gizlilik Risklerinin "İşlenmesi"
Bu bölümde, kişisel verilerin işlenmesiyle ilgili kısa bir açıklama yapacağız ve bir veri ihlaline yol açabilecek bir dizi gizlilik riskine kısaca değineceğiz. GDPR'ın kendisi ile başlayacağız. Yaklaşan yönetmelik Madde 4'teki kişisel verilerin tanımını aşağıdaki gibi sunmaktadır:
Madde 4 (2): "işleme", toplama, kayıt, organizasyon, yapılandırma, depolama, adaptasyon gibi otomatik araçlarla olsun ya da olmasın, kişisel veriler ya da kişisel veri setleri üzerinde gerçekleştirilen herhangi bir operasyon ya da işlem setini ifade eder, ya da değiştirme, geri alma, istişare, kullanma, iletme yoluyla iletme, yayma ya da başka türlü kullanılabilir hale getirme, hizalama ya da kombinasyon, kısıtlama, silme ya da imha etme";
İşlemin daha kapsamlı bir anlayışına doğru, bu prosedürde yer alan parçaları anlamalıyız. Dolayısıyla, işleme sürecine katılabilecek üç ana tarafımız var. "Kontrolör", "işlemci" ve "veri konusu".
- "Denetleyici", kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirleyen, tek başına veya başkalarıyla birlikte çalışan doğal veya tüzel kişi, kamu otoritesi, kurum veya başka bir kurum anlamına gelir.
- "İşlemci", kişisel verileri denetleyici adına işleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya başka bir kurum anlamına gelir.
- "Veri konusu", belirli kişisel verilerin ilgili olduğu kişi anlamına gelir.
Çevrimiçi hizmetlerle kişisel verilerin işlenmesine iki örnek vereceğiz: otomatik olmayan ve otomatik bir işlem örneği.
Otomatik olmayan işlem örneği: Çevrimiçi hizmet, bir kullanıcının bir formu doldurmasını ve çevrimiçi veritabanında saklanması için kişisel bilgilerini (ad, cinsiyet, e-posta vb.) sipariş etmesini gerektirir.
Otomatik işlem örneği: Çevrimiçi hizmet, bir kullanıcının IP'sini ve davranışını yakalar ve sistematik olarak bu bilgileri toplar ve saklar.
Dolayısıyla, GDPR otomatik olarak toplanan veya otomatik olarak toplanmayan, kaydedilen, saklanan vb. kişisel verileri düzenler. Ancak, ek olarak, GDPR'ın işleme ile ilgili tanımladığı bazı ilginç noktalar da içermektedir. Sadece bahsetmek gerekirse, 'iletimle bildirime' odaklanıyoruz. Bu, geliştiriciler için hem işlevsel hem de işlevsel olmayan bir gereksinime dönüştürülebilir.
Öncelikle, verileri işleyecek olan hizmet, herhangi bir bilgiyi, yani üçüncü taraflara, kullanıcının rızası olmadan, açıklamamasını sağlamalıdır. İkincisi, çünkü bu, hizmetin işlevsel kısmının kötü bir tasarımının bir sonucu olabilir, örneğin HTTP üzerinden GET istekleri oluşturarak. Sonuç olarak, hizmet kullanıcı verilerini ilettiğinde, yetkisiz bir üçüncü tarafın, kullanıcıların kişisel verilerini potansiyel olarak yakalaması, yani şifreleme olmaması ve / veya takma isminin verilmemesi durumunda URL'ler yoluyla yapılması çok kolay olacaktır.
Ayrıca, 5. Maddede GDPR, kişisel verilerin işlenmesi ile ilgili ilkeleri sağlar. Yönetmeliğin öngördüğü açıklamalar:
- Hukuka uygunluk, adalet ve şeffaflık: Kişisel veriler, veri konusuyla ilgili olarak, adil ve şeffaf bir şekilde işlenecektir.
- Amaç sınırlaması: Kişisel veriler, belirtilen, açık ve meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayan bir şekilde işlenmemelidir.
- Veri minimizasyonu: Kişisel veriler yeterli, ilgili ve işlenme amaçlarına göre gerekli olanlarla sınırlı olmalıdır.
- Doğruluk: Kişisel veriler doğru ve gerektiğinde güncel tutulmalıdır.
- Depolama sınırlaması: Kişisel veriler, kişisel verilerin işlendiği amaçlar için gerekli olandan daha uzun bir süre için veri konularının tanımlanmasına izin veren bir formda tutulmalıdır.
- Dürüstlük ve gizlilik: Kişisel veriler, uygun teknik veya organizasyonel önlemleri kullanarak, yetkisiz veya yasa dışı işlemlere karşı korunma ve kazara kayıp, yıkım veya hasarlara karşı koruma dahil olmak üzere kişisel verilerin uygun güvenliğini sağlayacak şekilde işlenmelidir.
- Hesap verebilirlik: Kontrolör, GDPR ile uyumluluğundan sorumlu olacak ve bunları gösterecektir.
Şimdiye kadar sağlanan açıklamaya dayanarak, kişisel verilerin, gerçekte veri konusu hakkında farkında olmadan çevrimiçi hizmet sağlayıcılar (veri denetleyici / işlemci) tarafından ne sıklıkta işlendiğini anlamak, kişisel veri paylaşım modelleri arasında birçok farklı senaryo vardır. Kullanıcılar ve çevrimiçi servis sağlayıcıları. Örneğin, bir kullanıcı verilerini kendi rızasıyla bir çevrimiçi hizmet sağlayıcısıyla paylaşır, böylece hizmetlerini kullanabilir. Bu senaryoda olağan bir mesele, hizmetin hizmet sunumu için hizmetin gerçek gereksinimlerinden daha fazla, gerçek gerekli olandan daha fazlasını isteyebileceğidir. Bu, GDPR'ın veri minimizasyonunu gerektirdiği asıl noktadır.
Kişisel veri paylaşımı modelinin başka bir farklı senaryosu şunlar olabilir: Bir hizmet kullanıcının kendi kişisel verilerini göndermesini istemez, ancak aynı zamanda hizmet, otomatik olarak verilebilecek birkaç veri toplayarak kullanıcıları reklam veya pazarlama nedenlerinden ötürü anonimleştirmek ya da takip etmek. Sonuç olarak, bugün bir kullanıcı çeşitli nedenlerden ötürü rızasıyla ya da onsuz çevrimiçi hizmetlerle 'spied' edilebilir ve profilli olabilir.
İkinci senaryo, aynı zamanda, hizmet sağlayıcısı tarafından hangi verilerin toplandığını, niçin toplanacağını, nasıl işleneceğini, nasıl korunacağını, kişisel veri işlemesi için kullanıcının rızasını (GDPR kapsamında) gerektirir. Herhangi bir bilgi toplamak için hareket ettirilir ve ne kadar süreyle saklanırlar.
Bir sonraki makalelerde, kişisel verilerin işlenmesi için bölgesel kapsamı ve yasal gerekçeleri inceleyeceğiz ve "hassas kişisel veriler" kategorisini açıklayacağız.
Yazarlar: Alberto Nutricati ve Achilleas Papageorgiou
Kaynak: Joomla.org