Demo Talep Et
Rehber

GDPR Uyumlu WiFi Giriş: Veri Koruma Gereklilikleri ve Uygulama Rehberi

GDPR uyumlu WiFi giriş, Avrupa Birliği Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) gerekliliklerini karşılayan captive portal ve veri toplama süreçlerini ifade eder. Bu yaklaşım...

11 dk okuma

GDPR uyumlu WiFi giriş, Avrupa Birliği Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) gerekliliklerini karşılayan captive portal ve veri toplama süreçlerini ifade eder. Bu yaklaşım, misafir WiFi hizmetlerinde kişisel veri toplamanın yasal, şeffaf ve güvenli bir şekilde gerçekleştirilmesini sağlar.

GDPR, 2018 yılında yürürlüğe giren ve kişisel verilerin korunmasında altın standart haline gelen düzenlemedir. WiFi hizmeti sağlayan işletmeler, bağlantı sürecinde kişisel veri topladıklarında bu düzenlemeye uyum sağlamak zorundadır. Uyumsuzluk, ciddi maddi cezalar ve itibar zararıyla sonuçlanabilir.

Obifi, işletmelerin müşteri verilerini toplamasını, sadakat kampanyaları yürütmesini, markalı WiFi giriş sayfaları oluşturmasını ve ziyaretçi davranışlarını analiz etmesini sağlayan bulut tabanlı bir WiFi pazarlama ve captive portal platformudur.

GDPR ve WiFi Veri Toplama Kapsamı

GDPR'ın WiFi hizmetlerine nasıl uygulandığını anlamak, uyumlu sistemler tasarlamak için esastır.

Kişisel Veri Tanımı

GDPR kapsamında, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi kişisel veridir:

Doğrudan Tanımlayıcılar: Ad, soyad, e-posta adresi, telefon numarası.

Dolaylı Tanımlayıcılar: IP adresi, MAC adresi, cihaz tanımlayıcıları.

Davranış Verileri: Ziyaret zamanları, bağlantı süreleri, konum kalıpları.

Profil Verileri: Tercihler, ilgi alanları, demografik bilgiler.

WiFi Veri Toplama Senaryoları

WiFi hizmetlerinde tipik veri toplama noktaları:

Captive Portal Formları: E-posta, telefon, ad-soyad toplama.

Sosyal Login: Sosyal medya platformlarından profil verileri.

Cihaz Verileri: MAC adresi, cihaz tipi, işletim sistemi.

Bağlantı Verileri: Oturum süreleri, bant genişliği kullanımı.

Konum Verileri: Erişim noktası bazlı yaklaşık konum.

Coğrafi Kapsam

GDPR şu durumlarda uygulanır:

  • AB'de yerleşik işletmelerin tüm veri işleme faaliyetleri
  • AB dışındaki işletmelerin AB'deki kişilere hizmet vermesi
  • AB vatandaşlarının davranışlarının izlenmesi

GDPR Temel İlkeleri ve WiFi Uygulaması

GDPR'ın temel ilkeleri WiFi veri toplamaya özel şekilde uygulanır.

Hukuka Uygunluk, Dürüstlük ve Şeffaflık (Madde 5/1-a)

Hukuka Uygunluk: Veri işleme için geçerli yasal dayanak (tipik olarak rıza).

Dürüstlük: Veri sahiplerinin makul beklentilerine uygun işleme.

Şeffaflık: Veri işleme hakkında açık, anlaşılır bilgilendirme.

WiFi Uygulaması:

  • Captive portal'de açık rıza mekanizması
  • Anlaşılır dilde gizlilik bildirimi
  • Veri kullanım amaçlarının net açıklaması

Amaçla Sınırlılık (Madde 5/1-b)

Veriler, belirli, açık ve meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayan şekillerde işlenmemelidir.

WiFi Uygulaması:

  • Veri toplama amaçlarının önceden belirlenmesi
  • Amacı aşan veri kullanımından kaçınma
  • Yeni amaçlar için yeni rıza alınması

Veri Minimizasyonu (Madde 5/1-c)

Sadece gerekli, ilgili ve yeterli miktarda veri toplanmalıdır.

WiFi Uygulaması:

  • Gereksiz form alanlarından kaçınma
  • İş amacına gerçekten gerekli verilerin tespiti
  • Minimal zorunlu alan politikası

Doğruluk (Madde 5/1-d)

Veriler doğru ve güncel tutulmalı, yanlış veriler düzeltilmeli veya silinmelidir.

WiFi Uygulaması:

  • Veri doğrulama mekanizmaları (e-posta, SMS)
  • Kullanıcı güncelleme imkanı
  • Geçersiz veri temizleme süreçleri

Saklama Sınırlaması (Madde 5/1-e)

Veriler, işleme amaçları için gerekli süre boyunca saklanmalıdır.

WiFi Uygulaması:

  • Veri saklama süreleri belirleme
  • Otomatik silme/anonimleştirme
  • Saklama politikası dokümantasyonu

Bütünlük ve Gizlilik (Madde 5/1-f)

Veriler, uygun güvenlik önlemleriyle korunmalıdır.

WiFi Uygulaması:

  • Şifreleme (aktarım ve depolama)
  • Erişim kontrolü
  • Güvenlik izleme ve denetim

Hesap Verebilirlik (Madde 5/2)

Veri sorumlusu, uyumluluğu gösterebilir durumda olmalıdır.

WiFi Uygulaması:

  • Politika ve prosedür dokümantasyonu
  • Rıza kayıtlarının saklanması
  • Denetim izlerinin tutulması

Yasal Dayanak Seçimi

GDPR'a göre, kişisel veri işleme altı yasal dayanaktan birine dayanmalıdır.

Rıza (Madde 6/1-a)

Veri sahibinin açık, özgür, belirli ve bilgilendirilmiş rızası.

WiFi İçin Uygunluk: Pazarlama amaçlı veri toplama için en uygun dayanak.

Gereklilikler:

  • Aktif eylem gerektiren mekanizma (işaretlenmemiş checkbox)
  • Amaç bazlı ayrı rızalar
  • Kolay geri çekme imkanı
  • Rıza kanıtının saklanması

Sözleşmenin İfası (Madde 6/1-b)

Veri sahibiyle yapılan veya yapılacak sözleşmenin ifası için gerekli işleme.

WiFi İçin Uygunluk: WiFi hizmeti sunumu için zorunlu veriler (örn: MAC adresi).

Sınırlamalar: Pazarlama faaliyetleri bu dayanağa sığmaz.

Meşru Menfaat (Madde 6/1-f)

Veri sorumlusunun veya üçüncü tarafın meşru menfaatleri.

WiFi İçin Uygunluk: Ağ güvenliği, analitik amaçlı bazı işlemeler.

Gereklilikler: Menfaat değerlendirmesi (LIA) yapılması.

GDPR Uyumlu Captive Portal Tasarımı

Uyumlu captive portal tasarımı belirli unsurları içermelidir.

Bilgilendirme Katmanı

Kısa Bildirim: Portal üzerinde özet bilgilendirme.

  • Kim tarafından toplandığı
  • Hangi veriler, hangi amaçlarla
  • Haklar ve iletişim bilgisi özeti

Detaylı Politika: Bağlantı ile erişilebilir kapsamlı gizlilik politikası.

  • Tam veri sorumlusu bilgisi
  • Tüm işleme amaçları
  • Yasal dayanaklar
  • Alıcı kategorileri
  • Saklama süreleri
  • Tüm veri sahibi hakları
  • Şikayet hakkı

Rıza Mekanizması

Aktif Onay: İşaretlenmemiş checkbox'lar, açık eylem gerektiren sistem.

Ayrıştırılmış Rızalar:

  • WiFi kullanım koşulları (zorunlu olabilir)
  • E-posta pazarlama (isteğe bağlı)
  • SMS pazarlama (isteğe bağlı)
  • Profilleme (isteğe bağlı)

Eşit Görünürlük: Rıza seçenekleri eşit belirginlikte sunulmalı.

Rızasız Erişim: Pazarlama rızası vermeden WiFi kullanabilme seçeneği.

Veri Toplama Tasarımı

Minimal Form: Gerçekten gerekli alanlar.

Zorunlu vs İsteğe Bağlı: Net ayrım.

Amaç Açıklaması: Her alanın neden toplandığının belirtilmesi.

Doğrulama: Veri kalitesi için format kontrolleri.

Veri Sahibi Hakları ve WiFi Uygulaması

GDPR, veri sahiplerine kapsamlı haklar tanır.

Erişim Hakkı (Madde 15)

Veri sahipleri, işlenen kişisel verilerinin bir kopyasını talep edebilir.

WiFi Uygulaması:

  • Erişim talebi işleme süreci
  • Kimlik doğrulama mekanizması
  • 30 gün içinde yanıt
  • Verilerin okunabilir formatta sunumu

Düzeltme Hakkı (Madde 16)

Yanlış verilerin düzeltilmesini talep etme hakkı.

WiFi Uygulaması:

  • Self-servis profil güncelleme
  • Düzeltme talebi kanalı
  • Hızlı yanıt ve güncelleme

Silme Hakkı (Madde 17)

Belirli koşullarda verilerin silinmesini talep etme hakkı.

WiFi Uygulaması:

  • Silme talebi işleme süreci
  • Yasal saklama zorunluluklarının değerlendirilmesi
  • Silme teyidi bildirimi

İşlemeyi Kısıtlama Hakkı (Madde 18)

Belirli koşullarda işlemenin kısıtlanmasını talep etme hakkı.

WiFi Uygulaması:

  • Kısıtlama talebi süreci
  • Verilerin işaretlenmesi ve işleme durdurma

Veri Taşınabilirliği Hakkı (Madde 20)

Verilerin yapılandırılmış, yaygın formatta alınması ve başka veri sorumlusuna aktarılması.

WiFi Uygulaması:

  • JSON veya CSV formatında dışa aktarma
  • Otomatik veya talep bazlı aktarım

İtiraz Hakkı (Madde 21)

Meşru menfaat veya kamu görevi dayanağıyla işlemeye itiraz hakkı.

WiFi Uygulaması:

  • İtiraz kanalı ve süreci
  • Pazarlama itirazında derhal durdurma

Teknik Güvenlik Gereklilikleri

GDPR, verilerin uygun teknik önlemlerle korunmasını gerektirir.

Aktarım Güvenliği

TLS/SSL Şifreleme: Captive portal ve tüm veri aktarımları için.

HTTPS Zorunluluğu: HTTP trafiğinin engellenmesi veya yönlendirilmesi.

Sertifika Yönetimi: Geçerli, güncel sertifikalar.

Depolama Güvenliği

Veritabanı Şifreleme: Hassas verilerin şifreli depolanması.

Anahtar Yönetimi: Güvenli şifreleme anahtarı saklama ve rotasyonu.

Yedekleme Güvenliği: Yedeklerin de şifrelenmesi.

Erişim Kontrolü

Kimlik Doğrulama: Güçlü parola politikaları, çok faktörlü doğrulama.

Yetkilendirme: Rol bazlı erişim kontrolü (RBAC).

Minimum Ayrıcalık: Sadece gerekli erişim hakları.

İzleme ve Denetim

Günlük Kaydı: Veri erişimi ve işleme kayıtları.

Anomali Algılama: Olağandışı erişim kalıplarının tespiti.

Düzenli Denetim: Güvenlik değerlendirmeleri.

Veri İhlali Yönetimi

GDPR, veri ihlallerinin yönetimi için özel gereklilikler içerir.

İhlal Bildirimi (Madde 33)

Veri sorumlusu, farkına vardıktan sonra 72 saat içinde yetkili makama bildirim yapmalıdır.

Gereklilikler:

  • İhlal tespit mekanizmaları
  • Değerlendirme süreçleri
  • Bildirim şablonları ve prosedürleri
  • Dokümantasyon

Veri Sahibine Bildirim (Madde 34)

Yüksek risk durumunda veri sahiplerine bildirim.

Gereklilikler:

  • Risk değerlendirme süreci
  • İletişim şablonları
  • Toplu bildirim kapasitesi

Üçüncü Taraf Yönetimi

WiFi hizmeti genellikle üçüncü taraf sağlayıcıları içerir.

Veri İşleyen Sözleşmeleri (Madde 28)

Veri işleyenlerle yazılı sözleşme zorunluluğu.

Sözleşme İçeriği:

  • İşleme konusu, süresi, niteliği, amacı
  • Veri türleri ve veri sahipleri
  • Veri sorumlusunun talimatlarına bağlılık
  • Gizlilik yükümlülüğü
  • Güvenlik önlemleri
  • Alt işleyenlere ilişkin kurallar
  • Veri sahibi haklarına destek
  • Sözleşme sonu veri iadesi/silme

Tedarikçi Değerlendirmesi

Uyumluluk Kontrolü: Veri işleyenlerin GDPR uyumluluğu.

Güvenlik Değerlendirmesi: Teknik güvenlik önlemleri.

Sürekli İzleme: Düzenli denetim ve değerlendirme.

KVKK (Türkiye) Paralellikleri

Türkiye'nin KVKK'sı GDPR ile önemli benzerlikler taşır.

Temel Benzerlikler

  • Kişisel veri tanımı benzer
  • Amaçla sınırlılık, veri minimizasyonu ilkeleri
  • Veri sahibi hakları (erişim, düzeltme, silme)
  • Açık rıza gerekliliği
  • Veri güvenliği yükümlülükleri

Önemli Farklılıklar

  • VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı
  • İdari para cezası yapısı
  • Yurt dışı veri aktarımı kuralları
  • Özel nitelikli veri kategorileri

Obifi: GDPR Uyumlu WiFi Platformu

Obifi, işletmelerin müşteri verilerini toplamasını, sadakat kampanyaları yürütmesini, markalı WiFi giriş sayfaları oluşturmasını ve ziyaretçi davranışlarını analiz etmesini sağlayan bulut tabanlı bir WiFi pazarlama ve captive portal platformudur.

Obifi GDPR Özellikleri

Rıza Yönetimi: Katmanlı, ayrıştırılmış rıza mekanizmaları.

Bilgilendirme Araçları: Özelleştirilebilir gizlilik bildirimleri.

Veri Sahibi Hakları: Yerleşik erişim, düzeltme, silme desteği.

Veri Minimizasyonu: Özelleştirilebilir form alanları.

Saklama Yönetimi: Otomatik veri silme ve anonimleştirme.

Güvenlik: Şifreleme, erişim kontrolü, denetim izleri.

Dışa Aktarma: Veri taşınabilirliği için JSON/CSV export.

Dokümantasyon: Rıza kayıtları ve işleme kanıtları.

Obifi ile Uyumluluk Güvencesi

  • Yerleşik GDPR/KVKK özellikleri
  • Düzenli uyumluluk güncellemeleri
  • Güvenli bulut altyapısı
  • Şeffaf veri işleme politikaları
  • Uzman destek

Sıkça Sorulan Sorular (SSS)

S1: GDPR kapsamında WiFi veri toplama için hangi yasal dayanak kullanılmalı?

WiFi veri toplama için yasal dayanak seçimi amaca göre değişir: Pazarlama amaçlı veri toplama için rıza (Madde 6/1-a) en uygun dayanaktır - aktif eylem gerektiren mekanizma, amaç bazlı ayrı rızalar ve kolay geri çekme imkanı gerektirir. WiFi hizmeti sunumu için zorunlu teknik veriler (MAC adresi gibi) sözleşmenin ifası (Madde 6/1-b) dayanağına dayanabilir. Ağ güvenliği için bazı işlemeler meşru menfaat (Madde 6/1-f) dayanağına uyabilir ancak menfaat değerlendirmesi gerektirir.

S2: GDPR uyumlu captive portal tasarımında hangi unsurlar bulunmalı?

Zorunlu unsurlar: Bilgilendirme (kısa özet portal üzerinde, detaylı politikaya bağlantı), Aktif rıza mekanizması (işaretlenmemiş checkbox'lar), Ayrıştırılmış rızalar (WiFi kullanımı, e-posta, SMS, profilleme ayrı), Eşit görünürlük (rıza seçenekleri eşit belirginlikte), Rızasız erişim seçeneği (pazarlama rızası olmadan WiFi kullanabilme), Minimal form alanları (gerçekten gerekli veriler), Zorunlu/isteğe bağlı ayrımı, Gizlilik politikası bağlantısı.

S3: WiFi veri toplama süresince veri sahibi hakları nasıl karşılanır?

GDPR kapsamında veri sahibi hakları: Erişim hakkı (30 gün içinde verilerin okunabilir formatta sunumu), Düzeltme hakkı (self-servis profil güncelleme veya talep kanalı), Silme hakkı (talep işleme süreci, yasal saklama değerlendirmesi), Kısıtlama hakkı (işlemenin geçici durdurulması), Taşınabilirlik hakkı (JSON/CSV dışa aktarma), İtiraz hakkı (pazarlama itirazında derhal durdurma). Bu hakları destekleyen süreçler ve mekanizmalar önceden kurulmalıdır.

S4: WiFi veri güvenliği için hangi teknik önlemler alınmalı?

GDPR uyumlu güvenlik önlemleri: Aktarım güvenliği (TLS/SSL şifreleme, HTTPS zorunluluğu), Depolama güvenliği (veritabanı şifreleme, güvenli anahtar yönetimi, şifreli yedekler), Erişim kontrolü (güçlü parola politikaları, çok faktörlü doğrulama, rol bazlı erişim, minimum ayrıcalık), İzleme ve denetim (erişim günlükleri, anomali algılama, düzenli güvenlik değerlendirmeleri), Veri ihlali yönetimi (tespit mekanizmaları, 72 saat bildirim süreci, dokümantasyon).

S5: GDPR ve KVKK arasındaki temel farklar nelerdir?

Temel benzerlikler: Kişisel veri tanımı, temel ilkeler (amaçla sınırlılık, minimizasyon), veri sahibi hakları, açık rıza gerekliliği, güvenlik yükümlülükleri. Önemli farklar: KVKK için VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı zorunluluğu, idari para cezası yapıları farklı, yurt dışı veri aktarımı kuralları farklı (KVKK açık rıza veya Kurul izni gerektirir), özel nitelikli veri kategorileri biraz farklı tanımlanmış. Her iki düzenlemeye de uyum için platformun (Obifi gibi) her ikisini de desteklemesi önemlidir.

Obifi ile Başlayın

GDPR ve KVKK uyumlu WiFi'ı güvenle uygulayın. Obifi, yerleşik gizlilik özellikleri ve uyumluluk araçları sunar.

İlgili Kaynaklar

Sektör Çözümleri

Kaynaklar

Başlamaya Hazır mısınız?

Misafir WiFi'nızı güçlü bir pazarlama kanalına dönüştürün.

Demo Talep EtFiyatları Gör