ASE YÖNETİM DANIŞMANLIK
GDPR (Genel Veri Koruma Yönetmeliği)
AB Genel Veri Koruma Yönetmeliği (GDPR), son 20 yılda veri güvenliğinde yapılan en önemli değişikliktir. GDPR (General Data Protection Regulation), Avrupa Genel Veri Koruma Tüzüğü'dür. Avrupa genelinde, Avrupa Birliği vatandaşlarının kişisel verilerini korumaya yönelik oluşturulmuş bir yönetmeliktir. GDPR, Avrupa Birliği sınırları içerisindeki vatandaşların kişisel verilerini barındıran bütün işletmeleri kapsamaktadır.
Avrupa Parlamentosu tarafından 14 Haziran 2016 tarihinde kabul edilen bu yasa, 25 Mayıs 2018 tarihinde yürürlüğe giren GDPR , Avrupa Birliği'nde ikamet eden kişilerin, KVKK ile paralel olarak, veri güvenliğini sağlamayı amaçlamaktadır.
GDPR öncesi döneminde kişisel verilerin güvenliği konusunda, 1995 yılında ortaya çıkan 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi temel düzenleme olarak uygulanmaktaydı. KVKK açısından bakıldığında da bu Direktifin büyük ölçüde esas olarak alındığı görünmektedir.
Neden GDPR'a Gereksinim Duyduk?
GDPR’dan önce de 1995 yılında yürürlüğe girdi. İçinde bazı durumlar içeren ve GDPR’a oldukça benzeyen bir Veri Koruma Tüzüğü de söz konusuydu. Bu tüzük üzerinde zaman içinde güncellemeler yapılması gerekti.
GDPR, kendisinden önceki Veri Koruma Yasası gibi, bireylerin veri korumasını güçlendirmeyi amaçlayan bir yasadır. Daha önceki herhangi bir yasadan daha çok olarak GDPR, Avrupa Birliği'nin tamamını kapsar.
AB sınırları dışındaki kişisel verileri ele alır.
GDPR'nin 3. Maddesi, Bölgesel Kapsam ile ilgilidir . Yazının 2. bölümünde ;AB dışında yerleşik bir kuruluş, AB'de yaşayan veri sahiplerine ürün ve hizmetler sunuyorsa veya herhangi bir ödemeye dayanmasa dahi AB içindeki gerçek bir kişinin davranışını izliyorsa, bunlar kuruluşun yeterli olduğunu gösteren yeterli göstergelerdir. GDPR'ye tabidir.Kanunun ilgili maddesini yorumlamak; örneğin, kuruluşunuzun web sitesinde AB'de konuşulan dillerden birinde hizmet ve ürünler sunuyorsanız, Artan Bölgesel Kapsamdasınız demektir. Kişilerin verilerini bir iletişim sayfasından toplar ve onlara Avrupa'da kullanılan para birimleri ve fiyatların bir listesini sunarsanız, GDPR kapsamındasınız demektir.Ayrıca örneğin bir internet sitesi veya farklı yöntemlerle kişilerin verilerinin profil çıkararak tespit edilmesi, alışkanlıklarının bulunması ve çerezler kullanılarak IP adreslerinin alınması da bu kapsamda değerlendirilmektedir. Öte yandan, AB üyesi ülkelerle ithalat, ihracat ve herhangi bir ticari faaliyette bulunuyorsanız, GDPR uyumluluk gereksinimlerini karşılamanız gerekir.
GDPR Yönetim Sürecinde Püf Noktalar Nedir?
Dokümantasyon Yönetimi
Dokümantasyonların yönetilmesi, izlenebilirliğinin ve güvenli erişilebilirliğinin sağlanması gerekir.
İlgili tarafla iletişimin güçlü olması
En etkili iletişim nasıl olacaksa, gelişme nasıl yönlendirileceğinin bulunması ve sağlanması, kurulun belirli bir iletişim stratejisi olması ve ilgili kişiyle sürekli temas halinde olunması gerekir. İletişimin araçlarının ne olduğu da çok önemlidir. Broşürler, posterler, reklamlar, basın toplantıları ve e posta gibi alakalı iletişim araçları kullanılabilir. İletişim yaklaşımları seçilirken hedef kitlenin ne olacağı, ihtiyaçlarının ne olduğu ve ilgi seviyesinin ne kadar olduğu belirlenmelidir. İletişimle alakalı değerlendirilmeler yapılmalıdır. İletişimin etkilerini görmek için yeterli süreye sahip olunmalıdır.
İhlal Yönetimi
Bir ihlal olduğu zaman ihlal olayının nasıl yönetileceğine yönelik bir tüzük, prosedür belirlenmesi icap etmektedir. Mümkün olduğu derecede tüzük uygulanmalıdır. Önce planın hazırlığı sonra ise müdahalenin nasıl gerçekleşeceği ve takibin devamının da getirilmesi oldukça önemlidir.
GDPR’a yönelik farkındalığın olması
GDPR farkındalığının sağlanmasının temel koşulu eğitimdir. Planlı ve sistematik bir eğitim süreci yapılmalıdır. Kuruluşun yeterliliklerinin artırılması ve veri koruma hedeflerine yönelik ilerleyebilmesine yardımcı olacak farkındalıklar ve eğitimler sağlanmalıdır.
KVKK için harcadığınız çaba, gerekli GDPR uyumluluk gereksinimlerini karşılıyor mu?
GDPR, Avrupa içinde veya dışında yaşayan AB vatandaşlarının kişisel verileriyle ilgili olduğundan, Türkiye'de yerleşik kuruluşlar önemli ölçüde yanıltıcıdır.
Aynı şekilde AB bölgesi dışındaki birçok kuruluş da benzer bir algıya sahiptir.
Örneğin 2018 yılında olduğu gibi çeşitli araştırmalara göre Amerikan şirketlerinin %50'si GDPR'den etkilenmeyeceklerini düşünüyor.
Asya-Pasifik şirketlerinin yalnızca %12'si GDPR'ye hazırlandı.
GDPR uyumluluğu için temel ihtiyaçlar nelerdir?
-
Risk değerlendirmesi ve organizasyonel kontrollerin oluşturulması
-
Veri akışlarının belirlenmesi ve veri envanterinin hazırlanması
-
Yasal sorumlulukların tanımlanması
-
Veri koruma süreçleri ile ilgili gerekli tüm önlemlerin alınması ve uçtan uca veri güvenliği altyapısının oluşturulması
-
DPO (Veri Koruma Görevlisi) Atanması
-
Mevcut politika ve prosedürleri güncellemek, Bağlayıcı Kurumsal Kuralları (BCR) hazırlamak ve gözden geçirmek
-
Pazarlama ve sosyal medya kanallarında iletişim süreçlerinin gözden geçirilmesi
GDPR İhlali ve Veri İhlali durumunda yaptırımlar
GDPR kapsamında veri ihlali durumunda,
20 Milyon Euro'ya kadar veya bir önceki mali yılın küresel cirosunun % 4'üne kadar para cezası uygulanacaktır.