GDPR (Genel Veri Koruma Yönetmeliği) ve Portekiz veri koruma mevzuatı, özellikle 58/2019 sayılı Kanun, e-ticaret operatörlerine katı yükümlülükler getirmektedir. CNPD (Comissão Nacional de Proteção de Dados), Portekiz'deki denetim otoritesidir ve uyumluluğu gözetlemek ve ihlaller için yaptırım uygulamaktan sorumludur. Online mağazalar için bu kurallara uyum sadece yasal bir zorunluluk değil, aynı zamanda veri haklarının giderek daha fazla farkında olan Portekizli tüketiciler nezdinde bir güven faktörüdür.
Çerez yönetimi ve onay
Kullanıcının cihazına zorunlu olmayan çerezler yerleştirmeden önce önceden açık onay alınması gerekir. Çerez banner'ı, reddi zorlaştıran karanlık kalıplara başvurmadan, kullanıcıların eşit kolaylıkla kabul etmesine, reddetmesine veya tercihlerini özelleştirmesine izin vermelidir. Sitenin çalışması için kesinlikle gerekli çerezler (oturum çerezleri ve alışveriş sepeti çerezleri gibi) onay gerektirmez ancak bildirilmelidir. Analitik çerezler (örneğin Google Analytics) ve reklam çerezleri (Facebook Pixel, Google Ads) aktivasyon öncesi açık onay gerektirir. CNPD, çerez banner'ı uyumluluğunu uygulamada özellikle aktif olmuş, bu konuda özel yönergeler yayınlamış ve büyük Portekiz web sitelerinin denetimlerini gerçekleştirmiştir.
Zorunlu gizlilik politikası
E-ticaret web sitesi, Portekizce yazılmış açık ve erişilebilir bir gizlilik politikası içermelidir. Bu politika şunları bildirmelidir: toplanan kişisel veriler ve işleme amaçları, her işleme faaliyeti için hukuki dayanak (onay, sözleşme ifası, meşru menfaat), verilerin alıcıları veya alıcı kategorileri, geçerli saklama süreleri, veri sahiplerinin hakları ve bunların nasıl kullanılacağı, veri sorumlusunun ve varsa Veri Koruma Görevlisinin (DPO) iletişim bilgileri. Politika, genellikle alt bilgide olmak üzere web sitesinin tüm sayfalarından erişilebilir olmalı ve yoğun hukuki jargon yerine açık, sade bir dille yazılmalıdır.
Müşteri hakları ve yanıt süreleri
Müşteriler kişisel verilerine erişim, yanlış verilerin düzeltilmesi, silme (unutulma hakkı), veri taşınabilirliği, işlemeye itiraz ve işlemenin kısıtlanması haklarına sahiptir. Bu hakların kullanılmasına ilişkin talepler en fazla bir ay içinde yanıtlanmalıdır, karmaşık durumlarda iki ay uzatılabilir. DPO atanması, büyük ölçekte veri işleyen veya bireylerin sistematik izlemesini gerçekleştiren şirketler için zorunludur; bu, sadakat programları, davranışsal takip veya gelişmiş kişiselleştirme özelliklerine sahip online mağazalar için geçerli olabilir.
CNPD yaptırımları ve uygulama
CNPD, en ciddi ihlaller için 20 milyon €'ya veya yıllık küresel cironun %4'üne kadar (hangisi daha yüksekse) para cezası uygulayabilir. Daha az ciddi ihlaller için cezalar 10 milyon €'ya veya cironun %2'sine ulaşabilir. Para cezalarının ötesinde, CNPD veri işlemenin askıya alınmasını emredebilir, bu da bir e-ticaret işletmesi için operasyonların tamamen durması anlamına gelebilir. Portekiz mahkemeleri de tüketicilerden gelen veri koruma taleplerine giderek daha açık hale gelmiştir. Zunapro, gizlilik denetimleri, uyumlu çerez banner'ı uygulaması, gizlilik politikası hazırlama ve sürekli uyumluluk izleme dahil olmak üzere Portekiz'deki e-ticaret platformunuz için tam GDPR uyumluluğu sağlar.
