Sitenizi Genel Veri Koruma Yönetmeliğine Uygun Hale Getirin

25 Mayıs 2018’den itibaren Avrupa Birliği’nin GDPR olarak bilinen “Genel Veri Koruma Yönetmeliği” yasalaşıyor. Bu yasa tüm dünyayı etkileyecek bir yasa, çünkü AB vatandaşlarının haklarını koruma altına alıyor. Eğer sitenizin her hangi bir yerinde bir AB vatandaşının bilgilerini alıyorsanız siz de bu yasaya tabi oluyorsunuz. Yok ben uymam derseniz ise 20 milyon Euro ceza ile karşılaşabilirsiniz (veya yıllık gelirinizin yüzde 4’ü kadar para cezası).

WordPress dünyadaki tüm sitelerinin yüzde 30’unda kullanıldığı için bu yıl WordPress için de zor bir yıl olacak. WordPress geliştiricileri de harıl harıl kendilerini bu yasaya uyarlamaya çalışıyorlar. Kendilerine bir web sitesi de açmışlar: GDP For WordPress. WordPress böyle hazırlanıyor ama bizim de yapmamız gereken bir kaç şey var:

  • Kullanıcıya kim olduğunuzu belirtin
  • Neden veri topluyorsunuz
  • Topladığınız veriyi ne kadar süre tutacaksınız
  • Topladığınız veriye kimler ulaşabilecek
  • Veri toplamdan önce kullanıcının rızasını almalısınız
  • Kullanıcıların kendi verilerine erişebilmelerine, indirebilmelerine ve ilsebimelerine imkan vermeli
  • Eğer bir güvenlik ihlali veya hacklenme olursa haber vermek

Tüm bilgilere ulaşmak istiyorsanız asıl site burada: http://ec.europa.eu/justice/smedataprotect/index_en.htm

Veri Toplama İzni

Bu düzenlemedeki en önemli madde kullanıcı verilerini toplamak için kullanıcıların kesin olarak veri toplamana izin vermesi gerekiyor.

Mesela bir ticaret siteniz var. Ödeme sayfasında “email listesine abone olmak istiyorum” diye bir checkbox var. Eğer varsayılan olarak o seçenek seçili geliyorsa suç işliyor olacaksınız. Kullanıcılar kendi istekleriyle size bilgilerini paylaşmaları gerekiyor.

Sizin 1 numaralı hedefiniz varsayılan olarak hiç bir şeyi almamak. İzin aldığınızda ise olabildiğince az bilgi toplamak.

En Az Bilgi İçin İzin İsteyin

Neredeyse tüm web siteleri ihtiyaçları olmayacak bir sürü bilgi talep ediyor. Eğer kullanmayacaksanız istemeyin. Eğer bir mail adresi yetiyorsa mail adresi isteyin. Eğer sadece adı yetiyorsa sadece adını sorun. Bu demek değil ki hiç bir bilgi alamazsınız. Sadece aldığınız bilgilere neden ihtiyaç duyduğunuzu belirtmeniz gerekiyor. Eğer insanların doğum günlerini soruyorsanız bunun nedeni “doğum günlerinde kart yollamak” olmalı, belki “ileri ki bir projede lazım olabilir” diye değil.

Kullanıcı sitenin kime ait olduğunu, verdiği bilgiye kimlerin göz atabileceğini ve ne kadar süreyle verilerin saklanacağını kesin olarak bilebilmeli.

Yapılacak İş Listesi

  • İnsanların tüm bilgilerini görebileceği, indirebileceği veya silebileceği bir sayfa eklemeniz lazım
  • Eğer bir güvenlik ihlali olursa bunu nasıl anlatacağınıza dair plan
  • Kim olduğunuzu, verileri neden topladığınızı, kimlerin erişim yetkisine sahip olduğunu ve ne kadar süreyle tutacağınızı anlatan sayfalar eklemek

Artık geçerli bir “Gizlilik Sözleşmeleri” yapmanın değeri önem kazandı.