Genel Veri Koruma Yönetmeliği'nin (bundan böyle GDPR olarak anılacaktır) 25 Mayıs 2018 tarihinden itibaren geçerli olan hükümleri nedeniyle, özellikle yeni teknolojiler kullanıldığında, bir işleme biçiminin, işlemenin niteliği, kapsamı, koşulları ve amaçları nedeniyle gerçek kişilerin hakları ve özgürlükleri için yüksek bir risk oluşturması muhtemel ise, GDPR Madde 35 paragraf 1 uyarınca devlet sermayesinin teklifleri için bir veri koruma etki değerlendirmesi yapılmalıdır.
Eyalet başkenti Stuttgart'ın sosyal medya kanalları
I. Eşik değer analizi
GDPR hükümlerine dayanarak, GDPR Madde 35 uyarınca bir veri koruma etki değerlendirmesi (DPIA), GDPR Madde 35 paragraf 1 uyarınca, özellikle yeni teknolojiler kullanılırken, işlemenin niteliği, kapsamı, koşulları ve amaçları nedeniyle gerçek kişilerin hakları ve özgürlükleri için yüksek bir risk varsa, Stuttgart Belediyesi'nin sosyal medya teklifleri için düşünülebilir. Buna göre, DPIA bir ön sınıflandırmadan sonra (sözde eşik analizi) resmi hukuk kapsamında zorunlu olmayacaktır, ancak mevcut durumda - yetkili veri koruma makamının gereklilikleri de dikkate alınarak - kapsam ve koşullar (örneğin, güvenli olmayan üçüncü ülkelere olası bir transfer) açısından mümkündür.
Bu nedenle, mevcut durumda, DPIA zorunlu bir yasal konstelasyon anlamında değil, gerekli koruyucu önlemlerin türetilmesiyle birlikte bir veri koruma kanunu kabul edilebilirlik kontrolü ve risk analizi anlamında gerçekleştirilir. Benzer şekilde yüksek risklere sahip birkaç benzer işleme faaliyetinin (birkaç sosyal medya teklifi) incelenmesi için, GDPR Madde 35 paragraf 1 cümle 2 uyarınca tek bir değerlendirme yapılabilir, böylece mevcut durumda DPIA, eyalet başkenti Stuttgart'ın tüm sosyal medya kanalları için özetlenir.
II Risk belirleme
Stuttgart Belediyesi'nin kendi sosyal medya sayfaları, kendi veri işleme kapsamının oldukça küçük olması nedeniyle GDPR Madde 35'te açıklanan riski tetiklemez. Bu durum, özellikle şirketin kendi katkılarının esasen kişisel referans olmadan içerik yayınlama meselesi olduğu ve kullanıcılarla herhangi bir iletişimde yalnızca gönüllü olarak sağladıkları verilerin işlendiği gerçeği göz önüne alındığında doğrudur.
Bununla birlikte, sosyal medyanın bu tür teklifler aracılığıyla kullanılmasının, özellikle verilerin ilgili platform operatörü tarafından reklam vb. amaçlarla değerlendirilmesi açısından geniş kapsamlı sonuçları vardır. Bu, bir DPIA'nın gerçekleştirilebileceği yüksek riskli işleme teşkil eder.
Baden-Württemberg Eyaleti Veri Koruma ve Bilgi Güvenliği Komiseri (Yeni bir sekmede açılır) (bundan sonra LfDI olarak anılacaktır), sosyal medyayı halkla ilişkiler çalışmaları ve genel bilgi sağlamak için kullanan kamu kurumlarının ortak sorumluluk taşıdığını varsayar. Ortak sorumluluk, kamu kurumunun ilgili sosyal ağın veri koruma uyumluluğunu onayladığı veya garanti ettiği anlamına gelmez. Ortak sorumluluk daha ziyade LHS'nin kendisini ve diğerlerini sosyal ağların risklerinden haberdar etmesi anlamına gelir. Kullanıcılar, genel olarak sosyal medya kullanımıyla ilişkili olan bu risklerden, özellikle Stuttgart Belediyesi'nin veri koruma beyanında haberdar edilir.
Kullanıcılar için sosyal medya kullanımıyla ilişkili riskler, prensipte Stuttgart Belediyesi tarafından kullanımdan bağımsız olarak da mevcuttur. Vakaların büyük çoğunluğunda, Stuttgart Belediyesi'nin katkıları kişisel verilere herhangi bir atıfta bulunmaz, bunun yerine gerçeklere dayalı içerik yayar. Sonuçta, sosyal medyada ilgili kullanıcı hesabıyla etkileşim yoluyla işlenen veriler genellikle zaten kamuya açıktır veya internette ücretsiz olarak mevcuttur.
Bununla birlikte, Stuttgart Belediyesinin sosyal medya sayfalarında görünerek ve etkileşime girerek, içerik daha geniş / "daha spesifik" bir kitleye sunulur ve böylece bu etkileşim olmadan daha fazla dikkat ve daha geniş dağıtım elde edilebilir. LHS'nin sosyal medyadaki diğer hesaplarla ağ kurması, hesabın ilgili kullanıcısı hakkında ek çapraz bağlantılar ve bilgiler de yaratır. Son olarak, kullanıcılar sayfayı pasif olarak okuduğunda ilgili platform sağlayıcısı tarafından günlük verileri de toplanır.
Dağıtım çemberinin genişlemesi ve bağlantı seçeneklerinin artması, verilerin platform operatörü ve gizli profilleme tarafından başka amaçlarla işlenmesini desteklemektedir. Kullanıcı katkıları olasılığı, uygunsuz, ayrımcı veya saldırgan yorumlar veya hassas verilerin yayılması gibi zararlı sonuçlara da yol açabilir.
Bu tür zararlar, ilgili platform operatöründen kaynaklanıyorsa önemli olarak sınıflandırılır, ancak eyalet başkenti Stuttgart'ın sosyal medya sayfaları tarafından yalnızca sınırlı ölçüde artırılır. LHS'nin paylaşımlarındaki ilgili bilgiler başka yerlerde de yayınlandığından, LHS'nin sosyal ağlarından birine katılma zorunluluğu yoktur.
Sosyal ağların kullanımı nedeniyle gerçek kişilerin hak ve özgürlüklerine yönelik aşağıdaki riskler özellikle vurgulanmalıdır:
- Platform operatörleri, hizmetlerin işletilmesi ve sağlanması için ve aynı zamanda (kişiselleştirilmiş) reklam amaçları için çerezler, izleme araçları ve benzer teknolojiler kullanarak kişisel kullanıcı verilerini işler. Bilgiler, platform kullanıcılarının faaliyetlerini ve davranış kalıplarını değerlendirmek veya suistimalleri bildirmek için kullanılır. Bu, siteyi ziyaret ederken platformda oturum açmamış veya kayıtlı olmayan kullanıcılar için de geçerlidir.
- Platform operatörleri bazen toplanan bilgileri güvenli olmayan üçüncü ülkelerdeki ortaklara veya bağlı şirketlere aktarır.
- Birçok sosyal medya platformu verileri yalnızca AB'deki sunucularda değil, aynı zamanda ABD'de veya diğer üçüncü ülkelerde de depolar. Depolama süresinin belirlenmesinden sosyal medya platformları sorumludur, ancak genellikle gizlilik politikalarında bu konuda bilgi verirler.
III Risk analizi kriterleri
Öncelikle ilgili kullanıcıların "hak ve özgürlükleri" ve yasal menfaatleri (özellikle mahremiyetin korunması) üzerindeki risk belirlenmelidir. Bunu, veri sahiplerinin yasal menfaatlerine yönelik risklerin değerlendirilmesi takip eder.
1. Risk analizinin genel ilkeleri
Veri sahipleri için sosyal medya kanallarının işletilmesinin potansiyel riski, spesifik işlemenin objektif kriterlerine göre belirlenmelidir, GDPR EC 76'ya bakınız:
"Veri sahibinin hak ve özgürlüklerine yönelik riskin olasılığı ve ciddiyeti, işlemenin niteliği, kapsamı, bağlamı ve amaçları ile ilişkili olarak belirlenmelidir. Risk, veri işlemenin bir risk mi yoksa yüksek bir risk mi teşkil ettiğini belirleyen objektif bir değerlendirme temelinde değerlendirilmelidir."
Değerlendirmenin merkezinde veri sahibi yer almaktadır, örneğin imajının zedelenmesi nedeniyle Stuttgart eyalet başkentinin uğrayacağı olası (parasal) zarar değil.
2. Risklerin değerlendirilmesine yönelik faktörler
Risk değerlendirmesi özellikle aşağıdaki faktörleri içerir(*1):
Gerçekleşme olasılığı
- Risk kaynakları belirlenmelidir
- Mevcut teknik ve kurumsal koruyucu önlemler
- Özel durum ve işleme koşulları
- Hasarın ciddiyeti
- Gerekli koruma düzeyi, örneğin kişisel verilerin hassasiyeti veya kapsamı nedeniyle
- yüksek koruma ihtiyacı mutlaka yüksek risk anlamına gelmez, örneğin gerçekleşme olasılığı düşükse
- Etkilenenler (kullanıcılar, çalışanlar, vb.) için olası olumsuz sonuçlar
(*1): Risklerin gerçekleşme olasılığını ve yaklaşan zararın ciddiyetini değerlendirme kriterleri ISO/IEC 29134:2017 (DPIA standardı), WP 248 ve Almanya ve Fransa'daki denetim makamlarının (CNIL) yayınlarına dayanmaktadır.
3. Etkilenenler için olası olumsuz sonuçlar
Veri sahiplerinin kişisel verilerinin işlenmesi maddi ve manevi zarara yol açabilir, bkz. GDPR EC 75. Veri sahiplerinin sosyal medya kanallarının işletilmesi nedeniyle tehlikeye girebilecek yasal menfaatleri özellikle aşağıdakileri içerir
- Kişisel verilerin gizliliği, bütünlüğü, kullanılabilirliği ve şeffaflığı
- Veri minimizasyonu
- İtibarın zarar görmesi
- Kendi verileri üzerinde kontrol kaybı
- Profil Oluşturma
- İzleme için baskı
- ayrımcılık
- ki̇mli̇k hirsizliği
- Mali kayıp
IV. Eyalet başkenti Stuttgart tarafından risk minimizasyonu
Stuttgart Belediyesi, sosyal medya kanallarının kullanımıyla ilgili bilinen riskleri göz önünde bulundurarak harekete geçmiş ve aşağıdaki risk azaltıcı önlemleri almıştır:
Her bir sosyal medya kanalı için Stuttgart Belediyesi, kullanıcılar için ayrıntılı veri koruma bilgileri içeren kapsamlı bir gizlilik politikası oluşturur. Bu, platform operatörleri tarafından sağlanan kafa karıştırıcı veri koruma bilgilerinin şeffaflığını bir araya getirir ve artırır.
Stuttgart Belediyesi, veri işleme, riskler ve düzeltici önlemler konusunda gerekli şeffaflığı sağlayan kapsamlı bir sosyal medya konsepti (Yeni bir sekmede açılır) oluşturmuştur.
Stuttgart Belediyesi, kullanıcıların kendilerini kullanıcı davranışlarının analizine karşı korumalarını sağlamak için ayrıntılı bilgiler sağlar. Bu, özellikle cihaz, gizlilik ve tarayıcı ayarlarının ayarlanması, çerezlerin devre dışı bırakılması ve yönetimi, izleme teknolojileri, yeniden pazarlama ve kişiselleştirilmiş reklamcılık ile ilgili bilgileri içerir, ayrıca sosyal medya konseptine ve Stuttgart Belediyesi'nin bireysel sosyal medya kanallarının veri koruma beyanlarına bakın.
Stuttgart Belediyesi, verilerin platform operatörleri tarafından güvenli olmayan üçüncü ülkelere aktarılmasını ve iletilmesini şeffaf hale getirir ve uluslararası veri aktarımı için veri koruma gerekliliklerinin (özellikle AB standart sözleşme maddeleri, TIA ve Veri Gizliliği Çerçevesi) platform operatörleri tarafından yerine getirilip getirilmediğini kontrol eder.
Stuttgart Belediyesi, gerekli veri koruma sözleşmelerinin imzalanmasını sağlar, örneğin sipariş işleme veya platform operatörü ile ortak sorumluluk için gerekli sözleşmeler, örneğin sorumlulukları düzenleyen ve veri konusu haklarının kullanımını şeffaf hale getiren TikTok Analytics için Ortak Kontrolör Eki'ne bakın.
Veri güvenliği: Stuttgart Belediyesi, en son teknolojiye ve ilgili standartlara göre gerekli teknik ve organizasyonel güvenlik önlemlerini uygulayan ve bir "Bilgi Güvenliği Kılavuzu" nda belirtilen bir bilgi güvenliği konseptini takip eder.
Stuttgart Belediyesi, örneğin tarayıcıda veya kullanıcı hesabında (çerezlerin, izleme araçlarının veya konum verilerinin devre dışı bırakılması gibi) kullanıcılar tarafından yapılan ayarlara saygı duyar ve bu tür koruyucu ve savunma önlemlerini kapatmak veya atlatmak için herhangi bir çaba göstermez.
Saklama süresi: Stuttgart Belediyesi, kullanıcıların kişisel verilerini yalnızca amaçlanan amaç için gerekli olduğu sürece veya yasal saklama yükümlülükleri olduğu sürece sistemlerinde saklar. LHS'ye yapılan başvurularda veriler, işlem süresi boyunca ve işlemin sona ermesinden sonra altı ay boyunca saklanacaktır. LHS daha sonra verileri derhal silecektir. LHS, münferit sosyal medya platformları için çeşitli veri koruma beyanlarında, platform operatörlerinin saklama süreleri hakkında mümkün olduğunca fazla bilgi sağlayacaktır.
Yorumlarla başa çıkma, görgü kuralları: LHS, ayrımcı veya saldırgan yorumları ve hassas verilerin yayılmasını anında fark etmek ve önlemek için sosyal medya sayfalarını mümkün olduğunca sürekli olarak izleyecek ve düzenleyecektir. Stuttgart Belediyesi'nin netiquette (Yeni bir sekmede açılır) 'i, şehrin kanallarının kullanımı için davranış kurallarını belirler ve web sitesinden erişilebilir.
V. Orantılılık testi ve risk değerlendirmesi
1. açıklanan amaçların gerçekleştirilmesi için uygunluk
Sosyal medyanın kullanım amaçları, Stuttgart Belediyesi'nin sosyal medya konseptinde ayrıntılı olarak açıklanmaktadır. Burada açıklanan amaçlar özellikle şunlardır
- Belediye çalışmalarının şeffaflığının teşvik edilmesi
- Vatandaşlara yakınlığın ve diyaloğun güçlendirilmesi
- Belediye bilgilerinin erişiminin genişletilmesi
- Yeni, özellikle genç hedef gruplara hitap etmek
- Katılım formatlarının ve etkinliklerinin tanıtılması
- Kriz iletişimi, uyarılar, güncel raporlar
- LHS'nin bir işveren markası olarak güçlendirilmesi
- Olumlu şehir imajı
Sosyal medya kullanımı yoluyla bu amaçlara ulaşılabileceği genel deneyimler temelinde kanıtlanabilir. Bu nedenle, açıklanan amaçlara ulaşmak için sosyal medya kullanımının uygunluğu konusunda makul şüpheler bulunmamaktadır.
2. gereklilik, daha hafif araçlar
Stuttgart Belediyesi'nin sosyal medyayı kullanması, hedeflenen çıkarlara daha hafif ve eşit derecede uygun araçlarla da ulaşılabilmesi halinde gerekli ve dolayısıyla orantısız olmayacaktır.
Sosyal ağlar, yalnızca Stuttgart Belediyesi tarafından takip edilen iletişim ve bilgilendirme hedeflerine geleneksel şehir kanalları (web sitesi, resmi gazete, basın çalışması) aracılığıyla eşit derecede etkili bir şekilde ulaşılamıyorsa kullanılır. Stuttgart Belediyesi bu gerekliliği sürekli olarak gözden geçirecek ve artık gerekli olmayan sosyal ağların kullanımına son verecektir.
3. İlgili çıkarların tartılması
| Meydana gelme olasılığı ve hasarın şiddeti |
ihmal edilebilir |
sınırlı | önemli |
|---|---|---|---|
| Gizlilik |
detaylı Özelleştirme Cihaz, Devre dışı bırakılması Kapsamlı sosyal Hiçbir atlatma |
||
| Bütünlük |
Bilgi Teknik ve İçin Kılavuz Tamamlanması sürekli |
||
| Kullanılabilirlik | Kişisel veriler veriler için veri̇ sahi̇pleri̇ artış yok önemi, böylece hiçbir zarar verilmemelidir beklenen bir durumdur. |
||
| Şeffaflık |
Detaylı veri koruma Kapsamlı sosyal |
||
| veri minimizasyonu |
detaylı Özelleştirme Devre dışı bırakılması Kapsamlı sosyal Tamamlanması Sınırlandırılması |
||
|
İtibarın zedelenmesi, |
Netiquette ile sürekli |
||
|
Kontrol kaybı |
iletimi İncelenmesi Tamamlanması Sınırlandırılması |
||
|
profil oluşturma |
detaylı Cihazın özelleştirilmesi, Devre dışı bırakma Sınırlama |
||
|
Basınç izleme |
detaylı Özelleştirme Devre dışı bırakılması Kapsamlı sosyal Hiçbir atlatma |
Genel olarak, Stuttgart Belediyesi'nin sosyal medya tekliflerinin neden olduğu ek risk, bu nedenle, meydana gelme olasılığı ve etkilenenler için olası hasarın ciddiyeti açısından düşük ila sınırlı olarak kategorize edilebilir. Buna ek olarak, Stuttgart Belediyesi riskin daha da azaltılmasına aktif olarak katkıda bulunmaktadır. Bu, özellikle Stuttgart Belediyesinin bireysel sosyal medya varlıklarına ilişkin ayrıntılı ve güncel veri koruma beyanları hakkında bilgi sağlamayı içerir.
Bununla birlikte, risk azaltıcı önlemlerin büyük bir kısmı da kullanıcıların alanına girmektedir. Örneğin, sosyal ağları kullanırken açık bir isim kullanma zorunluluğu yoktur. Kullanıcılar ayrıca tarayıcı geçmişlerini silmek, çerezleri devre dışı bırakmak veya fotoğraf kullanırken konumlarını paylaşmamak gibi çeşitli ayarlar yaparak kendilerini bir ölçüde koruyabilirler.
Buna ek olarak, sürekli editoryal destek, Stuttgart Belediyesi'nin hakaret içeren veya kişiliğe saldıran herhangi bir yorum durumunda, "rahatsız edici" kullanıcının hesabını engellemeye kadar müdahale etmesini sağlar. Stuttgart Belediyesi ayrıca sunduğu hizmetlerin kullanımı için yönetimde uyulan bir netiquette formüle etmiştir.
Stuttgart Belediyesi tarafından sosyal ağların açıklanan çerçeve parametreleri ile kullanımı, Stuttgart Belediyesi'nin yukarıda açıklanan amaçlarına ulaşmak için uygun, gerekli ve uygundur, yani veri sahipleri için yapılan risk değerlendirmesine göre genel olarak orantılıdır.
VI Veri koruma görevlisinin katılımı
GDPR'nin 35. maddesinin 2. paragrafına göre, Stuttgart eyaletinin Veri Koruma Görevlisi (DPO) DPIA'ya dahil olmalıdır. Bu yeterli ölçüde yapılmıştır. Stuttgart Belediyesi'nin DPO'su sosyal medya kullanımını danışman sıfatıyla sürekli olarak desteklemiştir. Veri koruma değerlendirmeleri, sosyal medyanın kullanımına ilişkin kararlara dahil edilmiştir. DPO ayrıca sosyal medya kullanımına ilişkin veri koruma incelemeleri gerçekleştirmeye devam edecektir.
VII Sonuç
Stuttgart Belediyesi'nin sosyal platformlardaki teklifleri, açıklanan riskler ve planlanan bağlayıcı önlemler göz önüne alındığında haklı görülebilir. Stuttgart Belediyesi ayrıca daha sonraki gelişmeleri izlemeyi ve gerekirse burada yapılan incelemeyi tekrarlamayı ve daha da geliştirmeyi taahhüt eder.
Mevcut durumda, yürütülen DPIA herhangi bir yüksek risk ortaya koymadığından, GDPR Madde 36 paragraf 1 uyarınca yetkili veri koruma denetim makamına danışmak gerekli değildir. Bunun yerine, sosyal medyanın
Stuttgart Belediyesi tarafından kabul edilebilir risklerin kabul edilmesiyle mümkündür. Mevcut risk, açıklanan iyileştirici önlemler sayesinde yeterince azaltılabilmiştir.