Çevrimiçi Gizlilik Politikası Esasları
İlk olarak, internet sitesinin çevrimiçi gizlilik politikasının bazı temel bilgilerine bir göz atalım.
Hangi tip site, gizlilik politikasına ihtiyaç duyar?
Kullanıcılardan veri toplayan, analizler ile kullanıcıları takip eden veya reklam gösteren her internet sitesinin veya hizmetin ihtiyacı vardır. Eğer işletme, AB’de ise veya AB vatandaşları ile iş yapmayı planlıyorsa, gizlilik politikalarının, GDPR standartlarına uygun olduğundan emin olmak zorunda kalacaktır.
Bu politikalar neden gerekli?
Çevrimiçi gizlilik politikanız, kullanıcılara şunları açıklar:
- Ne tür bilgiler topladığınızı
- Bilgileri nasıl topladığınızı
- Bilgiyi nasıl depoladığınızı ve koruduğunuzu
Toplanan bilginin türlerinde bir fark var mı?
Evet. Çoğu politika, kişiyi tanımlamak için kullanılan bilgi ile özel olmayan veriyi ayırır.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kişiyi tanımlamak için kullanılan bilgiyi şu şekilde tanımlar:
“Bir faaliyet tarafından sağlanan, (1) isim, sosyal güvenlik numarası, doğum tarihi ve yeri, anne kızlık soyadı veya biyokimlik kayıtlar gibi kişinin kimliğini ayırt etmek veya takip etmek için kullanılabilen her bilgi; ve (2) sağlık, eğitim, finansal ve çalışma bilgileri gibi kişi ile bağlantılı veya bağlantı oluşturabilecek diğer her bilgi dahil, kişi hakkındaki her bilgi.”
Özel olmayan veri, şu şekilde tanımlanır:
“Belirli kişi, hesap veya profile tekabül eden ancak, bu bilginin ait olduğu kişiyi tanımlamak, iletişim kurmak veya yerini belirlemek için yeterli olmayan bilgi.”
Örnekler şunları kapsar:
- Tarayıcı türü
- Tarayıcı eklenti detayları
- Yerel zaman dilimi
- Her ziyaretçi isteğinin tarih ve zamanı (örnek, her internet sayfasına geliş, çıkış)
- Lisan tercihi
- Yönlendiren site
- Cihaz tipi (örnek, masa üstü, diz üstü veya akıllı telefon)
- Ekran ebadı, ekran renk derinliği ve sistem yazı tipleri
Bu özel olmayan verinin paylaşımıyla ilgilenen çoğu kullanıcı, mevcudiyetlerini gizlemek için tarayıcı uzantıları kullanır. Ayrıca, VPN’ler, özel olmayan verinin belli tiplerinin paylaşımını engellemeye yardım eder. Örneğin, VPN, kullanıcının yerel zaman dilimiyle birlikte site ziyaret zamanını gizleyebilir. Eğer, VPN’ler konusunda daha fazla öğrenmekle ilgileniyorsanız, buraya tıklayın.
Eğer gizlilik politikası bildirmezsem, hukuki sonuçları var mı?
Evet. Kullanıcıların faaliyetlerini detaylandırmadan veri toplama, yasal olarak cezalandırılabilir. Ayrıca, eğer belirttiğinizden daha fazlasını toplarsanız veya politikayı güncellemeden veri toplama/kullanma şeklinizi değiştirmeniz durumunda risk altındasınız demektir.
GDPR uyumlu olmayan siteler, 20 milyon Euro veya toplam hasılatlarının %4’ü oranında para cezasıyla karşı karşıya kalabilir.
Çevrimiçi Gizlilik Politikası – Kullanımı Ücretsiz Şablonlar
Uzunluğu ve karmaşıklığından dolayı, çoğu çevrimiçi gizlilik politikası, okunmaz. Gerçekten, bir çalışmanın bulduğuna göre, o kadar elverişsizler ki, ortalama bir kişinin, bir yılda ziyaret ettiği internet sitelerinin gizlilik politikalarını fiilen okuması yaklaşık 30 tam çalışma gününü alır.
Web sahiplerinin, gizlilik politikalarını GDPR uyumlu tutmak için yapmaya ihtiyaçları olduğu değişikliklerden biri, özlü ve kolay anlaşılır yaparak gizlilik politikalarını kısaltmaktır.
Olabildiğince komplekstir, ayrıca çoğu kullanıcının internet ile ilgili en büyük endişelerinin üzerine gider: veri güvenliği, dolandırıcılıktan korunma ve kişisel gizlilik. Ve, çevrimiçi tüketicilerin gizlilik sorunları ile ilgili daha fazla farkındalık sahibi olması, internet sitesi sahibinin çevrimiçi gizlilik politikasını mümkün olduğunca açık ve anlaşılır yapmasını gerektirir. Aşağıdaki analizde, bu sözleşmelerin en önemli kısımlarını detaylandırıyoruz ve hukuk dilini basitleştiren, kullanımı ücretsiz bir şablon dili sunuyoruz.
1. Nokta: Bilgi Toplama
Her politika, sitenin toplayacağı bilgilerin ve toplama yöntemlerinin ne olduğunu ve toplanan verilerle ne olacağını açık bir şekilde açıklamalıdır.
2. Nokta: Bilgi Kullanımı
Bilgi toplamayı detaylandırdıktan sonra politikalar, internet sitesi sahiplerinin bunu nasıl kullanacağını açıklar. Facebook, 2013’te gizlilik politikasını güncellemek için çabalarken bu dil konusunda sorun yaşadı. Şirket, 18 yaşından küçükler dahil üyelerinin kişisel verilerinin pazarlama amacıyla kullanabileceğini eklemek istiyordu.
Gözlemci gruplar Federal Ticaret Komisyonunun dikkatini çektiğinde, Facebook, nihayetinde bu dilden vazgeçti. 2014’te, Facebook, gizlilik politikalarını, hukuk dilini üçte ikisi oranında kısaltan yalın İngilizce sürümüyle sundu.
Şirketler – ve internet siteleri – verinizin güvenliğini ciddi biçimde ele alırlar:
- Kişiyi tanımlamak için kullanılan bilgileri hiçbir zaman 3. kişilere satmaz
- İhlallere karşı korumak için veriyi anonimleştirir ve/veya şifreler
- Veriyi, sadece kısa bir süre için depolar
3. Nokta: E-Ticaret Değerlendirmeleri
E-ticaret siteleri için, politika, işlemleri gerçekleştirmek için toplanan kullanıcının kişisel finansal bilgisi için koruyucu şeyleri detaylandırmalıdır. Bu, kredi kartı numaralarını, sosyal güvenlik numaralarını veya banka hesap bilgisini içerir.
4. Nokta: 3. Kişi Bilgi İfşaatları
İnternet sitesinin 3. kişi ilişki/leri hakkında açık bir dil olmalıdır. İdeal olarak, yasal zorlama olmadıkça siteniz, kişiyi tanımlamak için kullanılan bilgileri satmayacak veya paylaşmayacak. Ayrıca şirketiniz gizli olmayan verilerle ne yapacağını detaylandırmalıdır.
5. Nokta: Bilgi Güvenliği ve Takip Etme
Günümüzün en iyi gizlilik politikaları, bilgi güvenliğini ve detaylı çerez kullanımını belirtir.
Google, çerez ifşaatı nedeniyle geçen sene gizlilik politikası sorunları ile karşı karşıya kaldı. Birleşik Krallık Bilgi Komisyonu Bürosu, internet devini, “isimsiz belirleyicileri” –çerezlere benzerler- kimlerin toplayabileceği hakkında bilgiyi ve bu veriyi koyan şirketin amaçlarını politikalarına dahil etmesi için zorladı.
6. Nokta: Üyelikten Çıkma Metotları
Her çevrimiçi gizlilik politikası, müşterinin istenmeyen haberleşmeden nasıl ayrılabileceğini belirtmelidir.
7. Nokta: İzin Verme
Standart çevrimiçi gizlilik politikası, internet sitesini kullanan kullanıcıların basit olarak politikayı kabul ettiğini belirtir. İlave olarak, politika, onlar hakkında toplanan verileri silmek veya bazı verileri değiştirmek ve/veya görmek için talep göndermek gibi kişinin haklarını açıklamalı.