GDPR kullanıcılarını ABD merkezli sitelerden nasıl engelleyebilirsiniz?
(Başlangıçta bu soruyu GDPR etiketiyle Sunucu Hatası konusunda sordum, ancak minimum yanıt nedeniyle burada sormayı denemem önerildi)
Anladığım kadarıyla, GDPR, AB vatandaşlarının gizliliğini korumak ve AB vatandaşlarına web sitelerinin verileri nasıl kullandığını / web sitelerinin söz konusu verileri depolayıp depolayamayacağını kontrol etme hakları tanıyan bir Avrupa mevzuatıdır.
GDPR ile ilgili ilk izlenimim, eğer bir AB vatandaşı GDPR haklarını istiyorsa, yalnızca AB'de ikamet eden ve GDPR mevzuatına tabi sunucuları kullanması gerektiğidir.
Bununla birlikte, görünüşe göre, AB mevzuatının bir şekilde AB dışındaki sunucuları etkileyebileceğine dair bazı görüşler var? Ben bir avukat değilim, ancak her ülkenin kendi yasalarını tanımlamasını ve uygulatmasını beklerdim - ki bu başka bir ülkenin yasalarıyla uyumlu olabilir veya olmayabilir. GDPR, ABD'de (veya AB dışındaki herhangi bir ülkede) bulunan sunuculara nasıl uygulanabilir?
Çevrimiçi okuduğum birkaç makaleye dayanarak, görünüşe göre ABD, AB'nin GDPR mevzuatının ABD topraklarında uygulanmasına bir şekilde izin veriyor.
GDPR baş ağrılarıyla uğraşmak istemediğim için, görünüşe göre TÜM AB vatandaşlarının (ve AB içinden sitelerime / hizmetlerime erişenlerin) web sitelerimi ve hizmetlerimi kullanmasını engellemekten başka seçeneğim yok. AB kullanıcılarının çoğunu yakalamak için tüm AB IP adres alanını güvenlik duvarına sokabilirim, ancak VPN kullanabilecek veya başka bir şekilde siteme AB dışı bir ISS'den erişebilecek AB vatandaşları var.
AB vatandaşlarını engellemek için kullanılabilecek yasal bir yaklaşım var mı? Örneğin, "Bu siteye veya hizmete AB'de ikamet eden kişi olarak erişmek yasa dışıdır" öyle ki biri yasal yönergeyi ihlal ederse, GDPR beklentisi geçersiz olur mu? GDPR oyununu oynamadığımı ve sunucularıma gönderdikleri hiçbir şeyin buna tabi olmayacağını anladıkları sürece web sitelerimi ve hizmetlerimi kullanmaları umurumda değil.
Yanıtlar
Bu, GDPR'nin yanlış anlaşılmasına bağlı olabilir. GDPR üç koşul altında geçerlidir:
- Madde 3 (1): Siz (veri denetleyicisi) AB'de yerleşiksiniz / AB'de yaşıyorsunuz.
- Madde 3 (2) (a): AB'deki insanlara mal veya hizmet sunuyorsunuz.
- Madde 3 (2) (b): AB'de fiziksel olarak bulunan kişilerin davranışlarını izliyorsunuz.
Etken olmayan nedir:
- site ziyaretçilerinizin hangi vatandaşlığa sahip olduğu (bkz. Resital 14).
- Sitenize AB'den erişilip erişilemeyeceği (bkz. Resital 23).
Önemli olan kısım, "mal veya hizmet teklifinin" ne anlama geldiğidir. EDPB, bu hedefleme kriterinin yorumlanmasına ilişkin resmi kılavuzlar yayınladı ( GDPR'nin bölgesel kapsamına ilişkin 03/2018 kılavuzlar ). Bazı önemli notlar:
- Mal veya hizmet teklifinin herhangi bir tazminat içermesi gerekmez. Bir web sitesine ücretsiz erişim de bir hizmet olabilir.
- GDPR, şu anda AB'de bulunan kişileri hedeflerken geçerlidir. AB'deki ABD'li turistler korunuyor, ABD'deki AB turistleri korunmuyor.
- Hizmetin sunulduğu an önemlidir. Örneğin, bir ABD hizmetini kullanan ABD'li bir kişi, AB'ye seyahat ederken ABD hizmetine karşı GDPR koruması talep edemez.
- Hizmetin kullanıcılarına bakmak yerine, hizmetin hedef pazarına bakmalıyız: hizmet AB'deki insanlara hitap etmiyorsa, GDPR geçerli değildir.
- Esas soru, hizmet sağlayıcısının AB'deki insanlara hizmet sunmayı "öngörüp öngörmediğidir". Hizmet sağlayıcı, AB veri konularının hizmeti kullanmasını istiyor mu?
- Yönergeler, özellikle Pammer ve Alpenhof davası olmak üzere içtihat hukukundan kapsamlı olmayan bir gösterge listesi oluşturur . GDPR'nin geçerli olabileceğine dair göstergelerden bir alıntı:
- AB veya üye devletler hizmet teklifinde belirtilmiştir
- web sitesinde bir AB hedef kitlesini hedefleyen pazarlama var
- söz konusu faaliyet uluslararası niteliktedir, örneğin turizm
- AB pazarı için özel iletişim bilgilerinden bahsediliyor
- AB veya üye ülkelerle ilişkili üst düzey bir alan adı kullanmak
- AB'den ziyaret ederken seyahat talimatları
- AB'den kişiler / şirketler de dahil olmak üzere uluslararası bir müşteri kitlesinden bahseder
- sizinkinden farklı bir dil veya para birimi kullanımı
- malların AB'ye teslimini teklif etmek
Dolayısıyla, GDPR'nin geçerli olup olmadığı, web sitenizin konusuna ve AB pazarına katılmak isteyip istemediğinize (hizmetiniz ücretsiz olsa bile yalnızca çevrimiçi olsa bile) bağlı olacaktır.
GDPR uygulanacaksa, insanları AB'den engellemek sorgulanabilir. Yasadışı da olabilir, ancak GDPR gerekçesiyle değil.
GDPR geçerli değilse, insanları AB'den engellemek zaten gereksizdir.
Bununla birlikte, coğrafi engelleme, hizmetlerinizi AB'deki insanlara sunma niyetinde olmadığınızın çok güçlü bir göstergesi olacaktır. Coğrafi engellemenin gerekli veya yeterli olup olmadığına ilişkin iyi bir içtihat yoktur. Coğrafi engellemenin yeterli olduğunu varsayıyorum (örneğin bir VPN ile kolaylıkla aşılabilse bile), ancak ilk etapta gerekli değil.
Yukarıdaki endikasyonları değerlendirirken AB pazarını hedeflemediğinizi de tekrar vurgulayabilirsiniz. Örneğin, bir web mağazası, yalnızca Kuzey Amerika'ya gönderildiklerini, ancak uluslararası olarak göndermediklerini açıklayabilir.
Tekrar: Web sitenizi hedeflemeniz, ziyaretçilerinizin kökeni değil, önemli faktördür. Dolayısıyla, ara sıra bir AB ziyaretçisi olsa bile, bu GDPR'ye uymanız gerektiği anlamına gelmez.
Yapamazsın
Birincisi, Kaliforniya'nın GDPR'ye çok benzer bir yasası var ve nerede olurlarsa olsunlar sakinleri için geçerli. Bu, nerede ikamet ediyor olurlarsa olsunlar AB'deki tüm insanlar için geçerli olan GDPR'den farklıdır. Yani, Avrupa'da ikamet eden bir Kaliforniyalı her iki yasanın da kapsamındadır ve Nebraska'daki bir Alman da hiçbiri kapsamına girmez.
İkinci olarak, bazı yasalar tarafların farklı kurallara uymalarına izin verir; örneğin tahkim yasaları tarafların mahkemeleri kullanma haklarından vazgeçmesine izin verir. Diğerleri yok, örneğin, kırmızı ışıklardan geçmenin uygun olduğu konusunda bir sözleşmede anlaşamazsınız. GDPR (ve Kaliforniya yasası) sözleşme yapamayacağınız açıkça belirtilmiştir, bunu yapmaya yönelik herhangi bir girişim basitçe geçersizdir (etkisizdir) ve başlı başına bir suçtur.
Üçüncüsü, yasaların geçerli olduğu herkesi güvenilir bir şekilde engelleyebilseniz bile, kullanıcının koşullarının değişmesine izin verdiğinizde ne yaparsınız? Avustralya'da bir Avustralyalıyım, bu nedenle hiçbir yasaya tabi değilim (benim için geçerli olan Avustralya gizlilik yasaları olmasa da), kişisel verilerimi toplarsanız ve 5 yıl sonra Avusturya'ya taşınırsam, GDPR artık bunun için geçerli veri.
Sizin dediğiniz gibi, "teknoloji büyük ölçüde gelişti" - yasal gizlilik korumaları da öyle.