GDPR

GDPR Nedir? Ne zaman yürürlüğe girdi?

AB vatandaşlarının gizlilik haklarını korumak amacıyla düzenlenen Genel Veri Koruma Yönetmeliği GDPR 25 Mayıs 2018 tarihinde yürürlüğe girdi. Avrupa’ya e-ihracat yapan e-ticaret siteler veri ihlalleri ile karşı karşıya kalırsa büyük bir ceza ödeyebilecekler.

GDPR ihlalinde 20 milyon euroya kadar ceza var

Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girdi. Güvenlik alanındaki uzmanlar tarafından 2016’nın ikinci çeyreğinden beri tartışılmakta olan bu yönergenin ne gibi faydaları olacağı da merak konusu. Peki GDPR nedir? Sonuçları neler olacak? İşletmelere getirdiği kazanımlar nelerdir?

Yeni yönerge kullanıcı merkezli olduğundan, içinde bulundurduğu tüm maddeler tamamen kullanıcı düşünülerek oluşturulmuş durumda. Bir başka deyişle, yönergenin kullanıcılara yönelik tasarlandığını söyleyebiliriz. GDPR’da kullanıcı, “ilgili kişi” olarak adlandırılmaktadır. Siz, ben ve diğer herkes, kişisel verilerimizin sahipleriyiz.

Daha önceki gizlilik yönergelerinde odak noktası, kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönergeler sayesinde kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdaydı. GDPR’da ise odak noktası doğrudan kullanıcının kendisinin, kişisel verilerine ait hangi haklara sahip olacağı kesin bir çizgi ile çizilmiş. Kişisel verileri işleyen herkes, ilgili kişinin haklarını gözetlediğinden emin olmak zorunda. Dolayısıyla GDPR ile artık madalyonun diğer yüzüne geçildi diyebiliriz.

GDPR ile birlikte kişisel veri tanımı da revize edilerek yeniden yapıldı.

Artık, en ufak bir veri dahi doğrudan, yaşayan birine aitse, bu veri artık kişsel tanımlanabilir bilgi (personally identifiable information – PII) olarak ifade ediliyor. Bu sayede veri madenciliği ve Big Data uygulamaları ile uğraşanların da farklı kaynaklardan veri paylaşımı ya da birleştirmek gibi konularda büyük bir mücadeleye gireceği öngörülüyor.

İlgili kişiye ait bilgilerin toplanması, saklanması ve işlenmesi için, öncelikle hangi amaç için ne maksatla bu bilgilerin ele alınacağını açık bir şekilde bildirmek gerekiyor. Eğer amaç değişirse ilgili kişiden yeniden muvaffakiyet almak gerekiyor. Buradan hareketle, Avrupa’daki tüm firmaların kişisel veri ile ilgili işlem yapmadan önce, bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekecek.

Her ne kadar piyasada, firmalara kişisel verilerin işlenmesiyle ilgili yardımcı olacak, verilerin şifrelenmesi ve doğru bir şekilde tasnif edilmesi işlemlerini otomatik olarak gerçekleştirebilen çeşitli teknik araçlar bulunsa da GDPR uyumlu olmak için gerekli işlemler hususunda uzman kişilerden destek almak da bir başka önemli zorunluluk. Bu noktada sadece teknik araçların kullanılması yeterli olmayıp, yetkili kişiler tarafından denetim de bir diğer önemli konu.

Rutin olarak yapılan işlemler, güvenlik politikaları ve işletmenin hedeflerini revize etmek gerek. Bunun dışında yöneticilerin, çalışanların bu konuda eğitim almalarını da sağlaması lazım. Tüm bunların dışında, yapılacak ve yapılan her işlemin uygun bir şekilde belgelendirilmesi gerek. Bu belgelendirme işleminin de GDPR uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirmesi gerek.

Her ne kadar GDPR’a sadece yüzeysel olarak ele almış olsam da yeni yönergelerin firmaların çalışmalarında büyük bir değişiklik oluşturacağını düşünüyorum. Bu yazıda, GDPR uyumlu olmayan firmaların ne gibi yaptırımlarla karşılaşacağına değinmedim. Ancak ilerleyen zamanlarda bu konuyu da tekrar masaya yatırmayı düşünüyoruz.

Neler GDPR Kapsamına Girdi?

Bundan sonra AB vatandaşının onayı olmadıkça kurumların ve şirketlerin veri toplama izni olmayacağı gibi, “İnternet siteleri ve diğer hizmetlerin veri toplaması sadece açık ve net onay süreci ile mümkün olacak. Şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan verileri alabilecek. Unutulma hakkı olarak ifade edilen, kişisel verilerin internetten silinmesi, yasal düzenlemeyle ilk kez sabitlenmiş olacak. Verileri işleyenler talep edilmesi durumunda hangi verileri depoladıklarını ve bunlarla ne yaptıklarını açıklamak durumunda kalacak.

Şirket verilerinin hack’lenmesi halinde şirket müşterilere açıklama yapmak zorunda olacak ve cezai yaptırımlarla karşılaşacak. İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler, GDPR kapsamında”

Eski Sistemler Uyum İçin Sıkıntı Oluşturuyor

Eski sistemlerin, verilerinin konumunu saptamak isteyen CIO’lar için zorluk oluşturacağı gibi, Eski sistemler GDPR ile uyumluluk için gerekli değişiklikleri yapmayı da zorlaştıracak. Sitesini kurumsal bir altyapı firmasına teslim etmemiş olan firmalar kötü sürprizlerle karşılaşabilir.

Bir altyapı firmasının düzenli olarak sızma testleri yaptırıyor ve şirketlerin verilerini şifreleyerek güvenli sunucularda saklıyor olması gerek. Sitenizi kurumsal bir firmaya değil de herhangi bir kişiye veya kurumsal olmayan bir yere yaptırırsanız, bir veri ihlali durumunda GDPR kapsamında 20 milyon euroya kadar ciddi cezalarla karşılaşılabilir. Bu anlamda e-ticaret yapan firmaların hangi altyapı firmasıyla çalıştığına çok dikkat etmesi gerekir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.