SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama
SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama

Tüm Rehberler

Bu kontrol listesi, AB/AEA vatandaşlarına ait kişisel verileri işleyen web sitesi sahipleri, geliştiriciler ve teknik yöneticiler için hazırlanmıştır. Her adımı tamamlamak; Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki yükümlülüklerinizi yerine getirmenize, veri ihlali riskini azaltmanıza ve denetim kurumlarına karşı hesap verebilirliğinizi kanıtlamanıza yardımcı olacaktır.

01

Veri Toplamanızı Denetleyin

Bilmediğiniz verileri koruyamazsınız. Sitenizde kişisel veriye dokunan her formu, analiz etiketini, izleme pikselini ve API çağrısını haritalandırarak başlayın. Ne toplandığını, amacını, nerede saklandığını ve ne kadar süre tutulduğunu belgeleyin.

  • İletişim formları, bülten kayıtları, ödeme akışları, canlı sohbet, analiz komut dosyaları ve yorum bölümleri dahil her veri toplama noktasını listeleyin.
  • Toplanan veri kategorilerini kaydedin: ad, e-posta, IP adresi, cihaz tanımlayıcıları, ödeme bilgileri, sağlık verileri vb.
  • Her veri türü için depolama konumunu belgeleyin: kendi sunucunuz, SaaS CRM, bulut veritabanı veya üçüncü taraf analiz platformu.
  • Her veri kategorisi için saklama süresi belirleyin ve belgeleyin — verileri gerekenden uzun süre tutmayın.
  • Açık bir amaca hizmet etmeden kişisel veri barındıran eski veritabanları, elektronik tablolar veya e-posta arşivleri gibi geçmiş veri depolarını kontrol edin.
02

Her İşleme Faaliyeti için Yasal Dayanak Belirleyin

GDPR Madde 6, her işleme faaliyetinin altı yasal dayanaktan birine — rıza, sözleşme ifası, yasal yükümlülük, hayati çıkarlar, kamu görevi veya meşru menfaatler — dayandırılmasını zorunlu kılar. Yanlış dayanak seçmek ya da hiç dayanak bulundurmamak en yaygın uyum hatalarından biridir.

  • Denetimizdeki her veri akışına Madde 6 kapsamındaki altı yasal dayanaktan birini atayın ve gerekçenizi belgeleyin.
  • Rıza kullanıyorsanız; rızanın serbest, belirli, bilinçli ve açık olduğundan ve geri çekilmesinin verilmesi kadar kolay olduğundan emin olun.
  • Meşru menfaatler'e dayanıyorsanız, kendi çıkarlarınızla veri sahibinin hakları arasındaki dengeyi değerlendiren ve belgeleyen bir Meşru Menfaat Değerlendirmesi (LIA) tamamlayın.
  • Özel kategori veriler (sağlık, biyometrik, dini vb.) için ek olarak uygulanan Madde 9 koşulunu belirleyin.
  • Yasal dayanakları en az yılda bir ve yeni bir işleme amacı tanıttığınızda gözden geçirin.
03

Uyumlu Bir Çerez Onay Mekanizması Uygulayın

Çerezler ve benzeri izleme teknolojileri, kesinlikle gerekli işlevler dışında her şey için önceden bilgilendirilmiş rıza gerektirir. Avrupa genelindeki düzenleyiciler önceden işaretlenmiş kutular, gizlenmiş çıkış seçenekleri ve yanıltıcı rıza akışları nedeniyle önemli cezalar uygulamıştır. Sensagraph, rıza kaydedilmeden önce çerez ve izleme komut dosyalarını tespit etmek için sitenizi tarar.

  • Kullanıcı aktif olarak kabul edene kadar zorunlu olmayan tüm çerezleri engelleyen bir Onay Yönetim Platformu (CMP) dağıtın.
  • Herhangi bir kategori onay kutusunu önceden işaretlemeyin; zorunlu olmayan her kategori için açık onay (opt-in) zorunlu olmalıdır.
  • Banner'ın ilk katmanında Tümünü Reddet düğmesini Tümünü Kabul Et düğmesiyle aynı belirginlikte gösterin.
  • Rızanın alındığını kanıtlayabilmek için onay günlüklerini (zaman damgası, gösterilen politika versiyonu, kabul edilen kategoriler) kaydedin ve saklayın.
  • Rızayı geri çekmeyi her zaman eşit derecede kolaylaştırın — çerez tercih merkezini yeniden açmak için kalıcı bir bağlantı sağlayın.
  • Çerezleri doğru kategorilere ayırın: kesinlikle zorunlu, işlevsel, analiz ve pazarlama/reklam.
  • Üçüncü taraf komut dosyaları genellikle sessizce yeni çerezler eklediğinden çerez envanterinizi altı ayda bir gözden geçirin ve güncelleyin.
04

Açık ve Eksiksiz Bir Gizlilik Politikası Yayınlayın

GDPR'nin 13. ve 14. Maddeleri, veri sahiplerine toplama anında belirli bilgilerin sağlanmasını zorunlu kılar. Açık, anlaşılır bir gizlilik politikası birincil şeffaflık aracınızdır.

  • Veri sorumlusunun (ve varsa VKO'nun) kimlik ve iletişim bilgilerini belirtin.
  • Topladığınız her kişisel veri kategorisini ve her biri için spesifik amacı açıklayın.
  • Her işleme amacı için yasal dayanağı listeleyin.
  • Analiz sağlayıcıları, ödeme işlemcileri ve barındırma şirketleri dahil kişisel veri alan tüm üçüncü tarafları ve alt işleyicileri açıklayın.
  • Her veri kategorisi için saklama sürelerini veya bunları belirlemede kullanılan kriterleri belirtin.
  • Tüm veri sahibi haklarını ve bunların nasıl kullanılacağını (net bir iletişim yöntemiyle birlikte) açıklayın.
  • Varsa otomatik karar verme veya profil oluşturma kullanımınızı açıklayın.
  • Sınır ötesi veri transferleri ve uygulanan güvenceler (örn. Standart Sözleşme Maddeleri) hakkında bilgi verin.
  • Politikayı tarih damgasıyla işaretleyin ve hesap verebilirlik için önceki sürümleri arşivleyin.
  • Gizlilik politikasını her sayfa altbilgisinden, her kayıt formundan ve çerez banner'ınızdan bağlantılandırın.
05

İletim ve Depolama Sırasında Kişisel Verileri Koruyun

GDPR Madde 32, kişisel verileri korumak için uygun teknik önlemlerin alınmasını zorunlu kılar. Şifreleme açıkça örnek olarak belirtilmektedir. Güvensiz veri iletimi hem teknik bir güvenlik açığı hem de bir uyum ihlalidir. Sensagraph, HTTPS yapılandırmanızı, TLS sürümünüzü, sertifika geçerliliğinizi ve güvenlik başlıklarınızı sürekli olarak kontrol eder.

  • Web sitenizin her sayfasında HTTPS'yi zorunlu kılın — tüm HTTP trafiğini otomatik olarak HTTPS'ye yönlendirin.
  • TLS 1.2 veya üzerini kullanın; TLS 1.0 ve 1.1'i, SSL 2.0 ve 3.0'ı tamamen devre dışı bırakın.
  • Geçerli ve güvenilir bir SSL/TLS sertifikası alın, sertifikanızı koruyun ve otomatik yenileme ayarlayın.
  • HTTP Strict Transport Security (HSTS) özelliğini uzun bir max-age değeriyle (en az 31536000 saniye) etkinleştirin.
  • Bekleyen kişisel veri içeren veritabanlarını ve dosya depolarını AES-256 veya eşdeğeri bir yöntemle şifreleyin.
  • Tüm oturum ve kimlik doğrulama çerezlerine Secure ve HttpOnly bayraklarını uygulayın.
  • Enjekte edilen komut dosyaları aracılığıyla veri sızdırılmasını önlemek için İçerik Güvenliği Politikası (CSP) uygulayın.
  • X-Content-Type-Options: nosniff ve X-Frame-Options: DENY (veya SAMEORIGIN) başlıklarını ayarlayın.
06

Veri Minimizasyonu ve Takma Ad Kullanımı Uygulayın

GDPR'nin veri minimizasyonu ilkesi (Madde 5(1)(c)), yalnızca belirtilen amaç için yeterli, ilgili ve gerekli olan verilerin toplanmasını zorunlu kılar. Daha az veri, daha az sorumluluk ve bir ihlal yaşarsanız daha küçük bir etki alanı anlamına gelir.

  • Sitenizdeki her formu gözden geçirin ve belirtilen amaç için kesinlikle gerekli olmayan alanları kaldırın.
  • Gerçekten zorunlu olmayan form alanlarını isteğe bağlı olarak işaretleyin; isteğe bağlı alanları zorunlu gibi göstermeyin.
  • Artık analiz etmediğiniz analiz verilerini anonimleştirin veya silin — analiz platformunuzun veri saklama ayarlarını yapılandırın.
  • Tam kimlik tanımlamanın gerekmediği günlük ve raporlama sistemlerinde doğrudan tanımlayıcıları takma ad tokenlarıyla değiştirin.
  • Saklama süresi dolan kayıtları temizleyen otomatik veri silme işleri uygulayın.
  • Üretim dışı ortamlarda veri maskeleme kullanın — geliştirme, test veya hazırlık ortamlarında gerçek kişisel veri kullanmayın.
07

Tüm Üçüncü Taraf Veri İşleyicilerini Gözden Geçirin ve Sözleşme Yapın

Sizin adınıza kişisel veri işleyen her üçüncü taraf hizmet — analiz, e-posta pazarlama, CRM, ödeme işleme, CDN, barındırma — GDPR kapsamında bir veri işleyicisidir. Madde 28, her biriyle yazılı bir Veri İşleme Sözleşmesi (DPA) yapılmasını zorunlu kılar.

  • Web sitenizden kişisel veri alan veya erişen tüm üçüncü taraf araç ve hizmetlerin listesini oluşturun.
  • Her işleyici için güncel ve imzalı bir DPA bulunduğunu doğrulayın — çoğu büyük satıcı (Google, Stripe, Mailchimp vb.) DPA'yı ayarlarında veya talep üzerine sağlar.
  • İşleyicilerin verilerinizi yetkilendirdiğinizin ötesinde kendi amaçları için kullanmadığını doğrulayın.
  • AB/AEA dışındaki işleyiciler için transfer mekanizmasını onaylayın: yeterlilik kararı, Standart Sözleşme Maddeleri (SCC'ler) veya Bağlayıcı Şirket Kuralları.
  • İşleyicileri yılda bir veya önemli bir değişiklik yaşandığında (satın alma, alt işleyici değişikliği, yeni veri merkezi bölgesi) yeniden değerlendirin.
  • Yeterli güvenliği kanıtlayamayan veya DPA imzalamayı reddeden işleyicileri kaldırın ya da değiştirin.
08

Veri Sahibi Haklarını Yönetmek için Bir Süreç Oluşturun

GDPR, bireylere erişim, düzeltme, silme, işleme kısıtlama, veri taşınabilirliği ve itiraz hakları tanır. Geçerli herhangi bir talebe bir takvim ayı içinde (karmaşık durumlar için üç aya uzatılabilir) yanıt vermeniz zorunludur. Yanıt vermemek başlı başına bir ihlaldir.

  • Haklar talepleri göndermek için açık ve kolay bulunabilir bir yöntem yayınlayın (özel bir e-posta adresi veya web formu).
  • Dahili bir iş akışı belgeleyin: talebi kim alır, kim kimliği doğrular, kim veriyi alır/siler ve kim yanıt gönderir.
  • Yetkisiz açıklamayı önlemek için kimlik doğrulama adımları uygulayın — aşırı kanıt talep etmeyin, ancak başvuranın iddia ettiği kişi olduğunu teyit edin.
  • İş akışını yılda en az bir kez baştan sona test edin — dahili olarak örnek bir talep gönderin ve yanıt süresini ölçün.
  • Hesap verebilirlik amacıyla alınan her talebi, gerçekleştirilen eylemi ve yanıt tarihini kaydedin.
  • Veritabanlarınızın ve sistemlerinizin belirli bir kişinin verilerini gerçekten dışa aktarıp silebildiğinden emin olun — bunu yalnızca kağıt üzerinde değil, teknik olarak test edin.
  • Haklar taleplerini alabilecek tüm çalışanları (destek ekibi, satış) bunları nasıl yönlendirmeleri gerektiği konusunda eğitin.
09

Bir Veri İhlali Müdahale Planı Hazırlayın

Madde 33, bireyler için risk teşkil eden bir kişisel veri ihlalinden haberdar olmanızdan itibaren 72 saat içinde denetim kurumunuza bildirimde bulunmanızı zorunlu kılar. Madde 34, etkilenen bireylere ek bildirim yapılmasını da gerektirebilir. İhlal gerçekleşmeden önce bir planın hazır olması, yönetilen bir olay ile bir uyum krizi arasındaki farkı belirler.

  • Kuruluşunuz için kişisel veri ihlalinin ne anlama geldiğini tanımlayın: yetkisiz erişim, yanlışlıkla ifşa, fidye yazılımı, kayıp cihaz vb.
  • İhlal müdahale koordinatörü olarak adı belirlenmiş bir kişi (veya VKO) atayın.
  • Bir ihlal değerlendirme şablonu oluşturun: etkilenen veriler, birey sayısı, olası sonuçlar ve alınan hafifletici önlemler.
  • Denetim kurumunuzun ihlal bildirim portalı URL'sini öğrenin ve giriş bilgilerini hazır bulundurun.
  • Etkilenen bireyler için bir bildirim şablonu hazırlayın: ne oldu, hangi veriler dahil, ne yapıyorsunuz ve ne yapmaları gerekiyor.
  • Planı yılda en az bir kez masa başı tatbikatıyla test edin.
  • İhlallerden hızla haberdar olmak için saldırı tespiti ve uyarı sistemi uygulayın — 72 saatlik süre, makul ölçüde ihlal olduğuna inandığınız anda başlar.
  • Bildirim eşiğini karşılamayanlar dahil tüm ihlalleri dahili bir ihlal kaydında belgeleyin.
10

İşleme Faaliyetleri Kaydını (ROPA) Güncel Tutun

Madde 30, çoğu kuruluşun tüm işleme faaliyetlerinin yazılı kaydını tutmasını zorunlu kılar. Kesinlikle zorunlu olmadığı durumlarda bile (250'den az çalışanı olan kuruluşların daha dar bir yükümlülüğü olabilir) ROPA, hesap verebilirlik programınızın omurgasıdır ve düzenleyici soruşturma sırasında son derece değerlidir.

  • Her işleme faaliyeti için bir satır içeren bir ROPA belgesi veya elektronik tablosu oluşturun.
  • Her faaliyet için şunları kaydedin: adı ve amacı, veri kategorileri, etkilenen veri özneleri, yasal dayanak, saklama süresi, depolama konumu ve uygulanan güvenceler.
  • Sınır ötesi transferlerin ayrıntılarını ve kullanılan transfer mekanizmasını ekleyin.
  • Her işleme faaliyetinden sorumlu bir veri sahibi atayın.
  • Yeni bir işleme faaliyeti tanıtıldığında, mevcut bir faaliyet değiştiğinde veya en azından yılda bir ROPA'yı gözden geçirin ve güncelleyin.
  • ROPA'yı denetim kurumuna talep üzerine sunulabilir durumda tutun — yalnızca VKO'nun değil, sorumlu ekibin erişebileceği bir yerde saklayın.

Sıkça sorulan sorular

Evet. GDPR, kuruluşun kendisinin nerede bulunduğuna bakılmaksızın AB/AEA'da bulunan bireylerin kişisel verilerini işleyen her kuruluşa uygulanır. AB vatandaşları web sitenizi ziyaret edebiliyorsa ve analitik aracılığıyla IP adresleri dahil verilerini topluyorsanız GDPR büyük olasılıkla uygulanır.

Para cezaları, bir önceki mali yıla ait toplam küresel yıllık cironun 20 milyon Euro'ya veya %4'üne kadar çıkabilir (hangisi daha yüksekse). Alt kademe ihlallerde cezalar 10 milyon Euro'ya veya küresel cironun %2'sine ulaşabilir. Denetleyiciler ayrıca uyarı, geçici işleme yasağı ve düzeltici emirler de verebilir.

Bir kamu otoritesiyseniz, büyük ölçekte sistematik birey izleme (örn. büyük ölçekli davranışsal reklamcılık) yürütüyorsanız veya büyük ölçekte özel kategori veri işliyorsanız DPO atamanız zorunludur. Küçük web siteleri için resmi atama zorunlu olmayabilir, ancak belirlenmiş bir gizlilik sorumlusuna sahip olmak kesinlikle önerilir.

Hayır. Kullanıcılara gerçek bir seçim sunmadan yalnızca bilgilendirme yapan bir çerez bildirimi geçerli onay sayılmaz. Zorunlu olmayan çerezler için GDPR uyumlu onay; serbest, belirli, bilinçli ve açık olmalıdır. Bu, önceden işaretlenmiş kutular veya pasif kabul değil, aktif bir onay eylemi anlamına gelir.

Erişim talebine alındığı tarihten itibaren bir takvim ayı içinde yanıt vermeniz gerekir. Karmaşık veya çok sayıda talep için bu süre iki ay daha uzatılabilir; ancak uzatma ve gerekçesi hakkında ilk ay içinde başvuranı bilgilendirmeniz zorunludur.

Kişisel veri, tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili her türlü bilgidir. Ad ve e-posta adresi gibi açık tanımlayıcılar bunlara dahildir; ancak IP adresleri, çerez kimlikleri, cihaz parmak izleri, konum verileri ve bir araya geldiklerinde birini tanımlayabilen veri kombinasyonları da kişisel veri sayılır.

Sensagraph, web sitenizi sürekli olarak tarar ve GDPR ile ilgili HTTPS zorunluluğu, TLS yapılandırması, güvenlik başlıkları ve rıza alınmadan önce çerez davranışı gibi teknik kontrolleri otomatik olarak denetler. Bu sayede manuel çaba gerektirmeksizin sitenizin güvenlik durumuna ilişkin sürekli bir görünürlük elde edersiniz.