Data (plural) comes from Datum (singular)
Datum means giving and/or sharing something of value to you
so, data needs to be protected :)
Konuyu etkileyen birkaç yasa/tasarı var:
e-Ticaret yasa tasarısı
Kişisel verilerin korunması yasa tasarısı
Çeşitli iç hukuk düzenlemeleri & özel düzenlemeler (i.e. Telekom, Finans sektörü için)
Anayasa - 20. madde 2. fıkra: kişi, kişisel verilerinin korunmasını talep edebilir...
Tüketici Kanunu ("birlikte sorumluluk" ilkesi - marka, ajans, mecra etc)
Aug 2010 -> 20 milyar/gün emailin %90'ı spam
TR spam sıralamasında en üstlerde ancak spam azaltma sırasında 1.
%98 düzeltme gözlemlenmiş geçen sene.
Avrupa'da spam %100'ün üzerinde bir hızla artıyor.
Özel hükümlerden e-haberleşme yönetmeliğinde kişisel verinin tanıma çok net değil (hatta baya vague) ancak yetkilinin TİB olduğu, opt-in şartı, kişinin veri paylaşımını ve istenmeyen iletişimi reddetme hakkı ile cezalar (cironun %3ü) gayet açık.
Hassas kişisel veri vs. Genel kişisel veri
Hassas kişisel veri etnik, dini, sağlık, finansal vb. konularda kişinin kimliği hakkında bilgi vereceği için özel izin gerektirir. US'da koruma altında EU'da yapım aşamasında
Genel kişisel veri kullanımı için ön izin ile ilerlenebilir. Ön izin EU'da explicit/yazılı (ıslak imza & online'da kutu clickleme) ve implied şeklinde ikiye ayrılır. TR'de e-ticaret yasa tasarısında implied olmadığı gibi sadece ıslak imza bulunmaktadır. -- ama değiştirilmesi için çalışılıyor.
- Veri toplarken validasyon amaçlı T.C. kimlik numarası kullanmak ile ilgili herhangi bir kısıtlama şu an için söz konusu değildir çünkü T.C. kimlik no hassas bilgil kapsamında değildir.
Implicit ön izin: Belli bir süredir ilişkin olan (i.e. satış yaptığın, bayini ziyaret eden alıcı, ziyaret götürdüğün dr, toplantı girişinde bıraktığın kartvizit..) kişilerin bir noktada seninle bilgisini paylaşmış olması.
Ancak izin toplarken X firması ve tüm grup şirketleri gibi muğlak bir söylem kullanamazsınız. Kişi, X firmasının tüm grup şirketlerini bilmek zorunda değildir. Böyle durumlarda kesinlikle tüm grup şirketleri listelenmelidir.
Bu sorunu ortadan kaldırmak için ana marka üzerinden kayıt toplayıp ana markanın alt markaları önermesi gibi bir mekanizma kullanılabilir.
İstisna kavramı
EU
Marka müşterileri ile ön izin almadan iletişim kurabilir.
Marka, potansiyel müşteriler ile (competitor'ın müşterileri, holdingin grup şirketleri, co-branding çalışmaları, banka kartı-sigorta etc) iletişim kurabilir.
Tek şart; ücretsiz opt-out opsiyonu sağlanması & opt-out'un 2 iş günü içerisinde yapılması
TR'de mevcut durumda müşteriden hangi konuda iletişime geçmek için izin aldıysan onunla ilgili iletişime geçebiliyorsun. ~ çalışmalar sürüyor
i.e. araba için aldıysa aynı şirketler grubunun tekstil kolu için kullanamıyorsun
kongre için aldıysan ürün bülteni için kullanamıyorsun
Data Retention (ne süreyle i.e. 6 yıl, hangi koşullarda veri saklamalı?) ne EU'da ne bizde net birşey söylenmiyor.
Sadece, datayı sektör ortalamaları süresince saklamakla mükellefsin. Ayrıca, tüketici kanununa bakınca tüketicinin ispat zorunluluğu yok yani marka kendini güvenceye almak için saklamalı.
Datayı güncel tutma yükümlülüğün olduğu için de "dr-" vs "dr_" gibi bir hatadan yanlış kişiye gönderim yapılması durumunda suçlu sayılırsın.
Veri toplarken toplama amacı ve kayıtlı tutulma süresi belirtilmek zorundadır. Bununla sürenin bitiminden 6 - 24 ay sonra veriyi ya silmelisin ya da profilleme amaçlı kullanacaksan isimsizleştirmelisin.
Ayrıca, veri saklama konusunda verinin nasıl saklandığı konusu da önemlidir. Çalışanın bilgilsayarı çalınınca müşteri verilerinin 3. şahıslarının eline geçmesi kabul edilebili rbir durum olmayacağından veriler ortak dizinde kilitli bir şekilde saklanmak zorundadır.
Yine kişisel verinin tanımının net olmadığı e-ticaret yasa tasarısına göre "veri kütüğü kurulu" oluşturulacak ve şikayetleri değerlendirecek (ICO @ UK). Ayrıca, bakanlığın sınırsız teftiş yetkisi olacak. Veri işleyen firmalar "veri kütüğü sicili sertifikası" almak zorunda olacak.
e-Ticaret yasa tasarısına göre
- İçeriği gönderen markanın da aracının da açıkça belirtilmesi ve kontak bilgilerinin sunulması gerekiyor. ~ Kim gönderiyor? Kimin adına gönderiyor? Ayrıca, gönderim amacı ve konusu da eklemek zorunlu.
- Önceden toplanmış listelerin yeni uygulamalara uyarlanması için 6 ay süre tanınacak firmalara. Yasa tasarısına eklenen geçici madde 1 sayesinde mevcut veri tabanına izin ispatı bağlamında bir gönderim yapıp explicit onaylarını almak çözüm olabilecek.
Ancak mevcut yasada "ticari olmayan ilk iletişim" gibi bir kavram yoktur. Yani sana kartvizitini vermiş kişi ile izin almak için bile iletişime geçmek yasa ihlali olarak gözükmektedir.
Sanayi Bakanlığı'nda ilgili komisyonun datayı nasıl topladığına dair denetim yapması halinde yönetiminin doğruluğunu ispat etme yükümlülüğün var.
- Tüccar ve Esnaf istisnası
T&E'ın kim olduğu belli olmamakla beraber ön izinsiz gönderim yapılması istisnası söz konusu.
Sanayi odasından email listesi almak buna doğru bir örnek peki ya bir kurum bünyesinde çalışanların hepsine toplu gönderim yapmak? ~ T&E tanımı vague
- Cezai hükümlerde "hizmet sağlayıcı" öder yazıyor. Hizmet te "bilgi toplumu hizmeti" olarak tanımlanıyor. Bilgi toplumu da "çevirimiçi hizmet" olarak nitelendiriliyor. Yani, markanın hatalarının cezasını da ajans/hizmet sağlayıcı ödeyecek gibi gözüküyor.
Ancak, EU'da Internet Service Provider'a sadece "bilinç ile sorumluluk" doğar yani yasalara aykırı bir gönderim yaptığını fark ettiğinde ya gönderimi durdurmalıdır ya da ilgili otoritelere raporlamalıdır.
Yine de servis sağlayıcıların gelen datanın geçmişini (nasıl toplandığını, ne vaatle toplandığını etc) kontrol etmesi gerekmektedir.
Ancak buradaki kavram karmaşası kiralık araba ile kaza yapıldığında araba kiralama şirketine ceza kesmek gibi bir sonuç doğurmakta. Öte yandan, hukuki dokümanlarda önce kavramın tanımı yapılıp ardından sorumluluklar ve cezi yaptırımlar açıklanmak zorundadır. Yani e-Ticaret yasa tasarısında cezanın kim tarafından ödeneceği ile ilgili netlik sağlanmak durumda.
Veri tabanı kiralama durumuna kiralayan marka 1e1 olarak kişiler ile iletişimde olmadığı için izinleri alan veri tabanı kiralayan firma sorumluluk sahibi.
Bu tür firmalar genelde double/confirmed opt-in sistemi ile datayı sağlıklı bir şekilde toplayıp GSM no, T.C. kimlik no. gibi ek bilgiler ile tekilleştiriyor.
Arkadaşını davet edip birşey kazanma modellerinde de belirsizlikler mevcut. Gönderimi yapan firma mı "arkadaş" emailini veren kişi mi sorumlu diye bakıldığında başvurulacak ilke; Bona fide. Firma arkadaş tavsiyesinde bulunan kullanıcının spam yapmasına izin vermemeli. Yani kişi başı gönderilebilecek davet sayısına bir limit koymalı ve hard-bounce'lara bakarak yüksek hard bounce oranlarında kişinin arkadaş tavsiye etme hakkını elinden almalı. Sistem EU'da böyle işliyor ama TR için durum belirsiz.
Sosyal Medya ise çok çok karışık. EU'da 29. madde kişisel veriler çalışma grubu tarafından konu ile ilgili düzenlemeler yapılıyor.
*** Benden izinsiz fotomu tag etmen aslında yasa ihlali
*** fB reklamları vb. senin profiline ve kullanımına bakalarak hedefleme yapıyor ki bu da yasa ihlali
Bir diğer yandan da "çocuk" her zaman ayrı bir kategori. Opt-in esnasında ebeveyn onayı şart ve çocuklarla paylaşılabilecek içeriğin kuralları çok daha farklı.
Biraz ekstra hukuk bilgisi:
1 suçtan 2 defa ceza yiyemezsin. Yani suç birden fazla yasa kapsamında olsa bile genelde en yüksek ceza verecek ve/veya en garanti hüküm giyilecek yasadan dava açılır.
Mağdurun her zaman en güçlü paydaşı dava etmesi uygundur.
Mevzuatta ilgili davanın belirli bir zaman dilimi içerisinde sonlandırılmasına dair bir şart yoksa dava yıllar sürebilir.
No comments:
Post a Comment