AB Genel Veri Koruma Yönetmeliği (GDPR), kuruluşların kişisel veri toplarken, işlerken ve saklarken izlemeleri gereken altı veri koruma ilkesini gözetmektedir.

Veri denetleyicisi ilkelere uymaktan sorumludur ve kuruluşun uyumluluk uygulamalarını gösterebilmelidir.

gdpr veri koruma ilkeleri 6 ilkesi kilit bilgisayar klavyesi bir kişinin kişisel bilgilerini içeren belge

Burada bu altı prensibi, onları nasıl takip edebileceğinize dair tavsiyelerle listeledik.

1. Şeffaflık İlkesi

İlk ilke nispeten açıktır: "Kuruluşların veri toplama uygulamalarının yasayı ihlal etmediğinden ve veri konularından hiçbir şey gizlemediklerinden emin olmaları gerekir."

Yasaya uygun hareket edebilmeniz için, GDPR'yi ve veri toplama kurallarını tam olarak anlamanız gerekir. Şeffaf kalmak için websitenizdeki gizlilik politikanızda topladığınız veri türünü ve toplama nedeninizi açıkça belirtmelisiniz.

2. Amaç Sınırlaması

Kuruluşlar kişisel verileri yalnızca belirli bir amaç için toplamalı, bu amacın ne olduğunu açıkça belirtmeli ve yalnızca bu amacı tamamlamak için gerektiği kadar veri toplamalıdır.

Kamu yararına veya bilimsel, tarihsel veya istatistiksel amaçlarla arşivleme amacıyla yapılan işlemlere daha fazla özgürlük verilir.

3. Veri Minimizasyonu

Kuruluşlar, yalnızca işlem amaçlarına ulaşmak için ihtiyaç duydukları kişisel verileri işlemelidir. Bunu yapmanın iki önemli yararı vardır.

  • İlk olarak, bir veri ihlali durumunda, yetkisiz kişi yalnızca sınırlı miktarda veriye erişebilir.
  • İkincisi, veri minimizasyonu, verilerin doğru ve güncel tutulmasını kolaylaştırır.

4. Doğruluk

Kişisel verilerin doğruluğu, veri korumanın ayrılmaz bir parçasıdır. GDPR, yanlış veya eksik olan verileri silmek veya düzeltmek için “her makul adımın atılması gerektiğini” belirtir.

İlgili kişiler, verileri toplandıktan sonra 30 gün içinde yanlış veya eksik verilerin silinmesini veya düzeltilmesini talep etme hakkına sahiptir.

5. Saklama Sınırlaması

Benzer şekilde, kuruluşların da gereklilik ortadan kalktığında kişisel verileri silmesi gerekir.

Bilginin artık gerekli olmadığını nasıl anlarsınız?

Pazarlama şirketi Epsilon Abacus'a göre "kuruluşlar, bireyin müşteri olarak değerlendirilebildiği sürece verilerini saklamalarına izin verilmesi gerektiğini” öne sürmektedir. Yani soru şu: Bir satın alma işleminden sonra birey ne kadar süre müşteri kabul edilecektir?

Bunun cevabı endüstrilere ve verilerin toplanma nedenlerine göre farklılık gösterecektir. Kişisel verilerin ne kadar süre tutulacağından emin olmayan herhangi bir kuruluş bir hukukçuya danışmalıdır.

6. Dürüstlük ve Gizlilik

Açık olarak gizlilikle ilgilenen tek ilke budur.

GDPR, kişisel verilerin “yetkisiz veya yasa dışı işlemeye karşı koruma ve uygun teknik veya organizasyonel önlemler kullanılarak kazara kayıp, imha veya hasara karşı koruma da dahil olmak üzere kişisel verilerin uygun güvenliğini sağlayacak şekilde işlenmesi gerektiğini” belirtmektedir.

GDPR'de, kuruluşların alması gereken önlemler konusundaki kasıtı olarak belirsizdir, çünkü teknolojik ve örgütsel uygulamalar sürekli değişmektedir.

Şu anda kuruluşlar kişisel verileri mümkün olduğu kadar şifrelemeli ve / veya takma adlandırma yapmalı, ancak diğer seçenekleri de takip etmelidir.

Kaynak