ASE YÖNETÄ°M DANIÅžMANLIK
GDPR (Genel Veri Koruma YönetmeliÄŸi)
AB Genel Veri Koruma YönetmeliÄŸi (GDPR), son 20 yılda veri güvenliÄŸinde yapılan en önemli deÄŸiÅŸikliktir. GDPR (General Data Protection Regulation), Avrupa Genel Veri Koruma TüzüÄŸü'dür. Avrupa genelinde, Avrupa BirliÄŸi vatandaÅŸlarının kiÅŸisel verilerini korumaya yönelik oluÅŸturulmuÅŸ bir yönetmeliktir. GDPR, Avrupa BirliÄŸi sınırları içerisindeki vatandaÅŸların kiÅŸisel verilerini barındıran bütün iÅŸletmeleri kapsamaktadır.
​
Avrupa Parlamentosu tarafından 14 Haziran 2016 tarihinde kabul edilen bu yasa, 25 Mayıs 2018 tarihinde yürürlüÄŸe giren GDPR , Avrupa BirliÄŸi'nde ikamet eden kiÅŸilerin, KVKK ile paralel olarak, veri güvenliÄŸini saÄŸlamayı amaçlamaktadır.
GDPR öncesi döneminde kiÅŸisel verilerin güvenliÄŸi konusunda, 1995 yılında ortaya çıkan 95/46/EC sayılı KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına Ä°liÅŸkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi temel düzenleme olarak uygulanmaktaydı. KVKK açısından bakıldığında da bu Direktifin büyük ölçüde esas olarak alındığı görünmektedir.
Neden GDPR'a Gereksinim Duyduk?
GDPR’dan önce de 1995 yılında yürürlüÄŸe girdi. Ä°çinde bazı durumlar içeren ve GDPR’a oldukça benzeyen bir Veri Koruma TüzüÄŸü de söz konusuydu. Bu tüzük üzerinde zaman içinde güncellemeler yapılması gerekti.
​
GDPR, kendisinden önceki Veri Koruma Yasası gibi, bireylerin veri korumasını güçlendirmeyi amaçlayan bir yasadır. Daha önceki herhangi bir yasadan daha çok olarak GDPR, Avrupa BirliÄŸi'nin tamamını kapsar.
AB sınırları dışındaki kişisel verileri ele alır.
​
GDPR'nin 3. Maddesi, Bölgesel Kapsam ile ilgilidir . Yazının 2. bölümünde ;AB dışında yerleÅŸik bir kuruluÅŸ, AB'de yaÅŸayan veri sahiplerine ürün ve hizmetler sunuyorsa veya herhangi bir ödemeye dayanmasa dahi AB içindeki gerçek bir kiÅŸinin davranışını izliyorsa, bunlar kuruluÅŸun yeterli olduÄŸunu gösteren yeterli göstergelerdir. GDPR'ye tabidir.Kanunun ilgili maddesini yorumlamak; örneÄŸin, kuruluÅŸunuzun web sitesinde AB'de konuÅŸulan dillerden birinde hizmet ve ürünler sunuyorsanız, Artan Bölgesel Kapsamdasınız demektir. KiÅŸilerin verilerini bir iletiÅŸim sayfasından toplar ve onlara Avrupa'da kullanılan para birimleri ve fiyatların bir listesini sunarsanız, GDPR kapsamındasınız demektir.Ayrıca örneÄŸin bir internet sitesi veya farklı yöntemlerle kiÅŸilerin verilerinin profil çıkararak tespit edilmesi, alışkanlıklarının bulunması ve çerezler kullanılarak IP adreslerinin alınması da bu kapsamda deÄŸerlendirilmektedir. Öte yandan, AB üyesi ülkelerle ithalat, ihracat ve herhangi bir ticari faaliyette bulunuyorsanız, GDPR uyumluluk gereksinimlerini karşılamanız gerekir.
_edited.png)
Türkiye'de GDPR zorunlu mu?
“ Avrupa BirliÄŸi içinde müÅŸteri tabanı bulunan mal yada hizmet saÄŸlayıcılarının,verileri GDPR'a uyumlu olacak ÅŸekilde iÅŸlemeleri zorunludur.
​
Türkiye'de ki bir ÅŸirketin elindeki veri, Avrupa BirliÄŸi vatandaşı bir kiÅŸinin verisi ise, GDPR' a baÄŸlı olmuÅŸ olur. "
GDPR Yönetim Sürecinde Püf Noktalar Nedir?
Dokümantasyon Yönetimi
Dokümantasyonların yönetilmesi, izlenebilirliÄŸinin ve güvenli eriÅŸilebilirliÄŸinin saÄŸlanması gerekir.
Ä°lgili tarafla iletiÅŸimin güçlü olması
En etkili iletiÅŸim nasıl olacaksa, geliÅŸme nasıl yönlendirileceÄŸinin bulunması ve saÄŸlanması, kurulun belirli bir iletiÅŸim stratejisi olması ve ilgili kiÅŸiyle sürekli temas halinde olunması gerekir. Ä°letiÅŸimin araçlarının ne olduÄŸu da çok önemlidir. BroÅŸürler, posterler, reklamlar, basın toplantıları ve e posta gibi alakalı iletiÅŸim araçları kullanılabilir. Ä°letiÅŸim yaklaşımları seçilirken hedef kitlenin ne olacağı, ihtiyaçlarının ne olduÄŸu ve ilgi seviyesinin ne kadar olduÄŸu belirlenmelidir. Ä°letiÅŸimle alakalı deÄŸerlendirilmeler yapılmalıdır. Ä°letiÅŸimin etkilerini görmek için yeterli süreye sahip olunmalıdır.
Ä°hlal Yönetimi
Bir ihlal olduÄŸu zaman ihlal olayının nasıl yönetileceÄŸine yönelik bir tüzük, prosedür belirlenmesi icap etmektedir. Mümkün olduÄŸu derecede tüzük uygulanmalıdır. Önce planın hazırlığı sonra ise müdahalenin nasıl gerçekleÅŸeceÄŸi ve takibin devamının da getirilmesi oldukça önemlidir.
GDPR’a yönelik farkındalığın olması
GDPR farkındalığının saÄŸlanmasının temel koÅŸulu eÄŸitimdir. Planlı ve sistematik bir eÄŸitim süreci yapılmalıdır. KuruluÅŸun yeterliliklerinin artırılması ve veri koruma hedeflerine yönelik ilerleyebilmesine yardımcı olacak farkındalıklar ve eÄŸitimler saÄŸlanmalıdır.
KVKK için harcadığınız çaba, gerekli GDPR uyumluluk gereksinimlerini karşılıyor mu?
GDPR, Avrupa içinde veya dışında yaÅŸayan AB vatandaÅŸlarının kiÅŸisel verileriyle ilgili olduÄŸundan, Türkiye'de yerleÅŸik kuruluÅŸlar önemli ölçüde yanıltıcıdır.
​
Aynı ÅŸekilde AB bölgesi dışındaki birçok kuruluÅŸ da benzer bir algıya sahiptir.
​
ÖrneÄŸin 2018 yılında olduÄŸu gibi çeÅŸitli araÅŸtırmalara göre Amerikan ÅŸirketlerinin %50'si GDPR'den etkilenmeyeceklerini düÅŸünüyor.
​
Asya-Pasifik şirketlerinin yalnızca %12'si GDPR'ye hazırlandı.
GDPR uyumluluÄŸu için temel ihtiyaçlar nelerdir?
-
Risk değerlendirmesi ve organizasyonel kontrollerin oluşturulması
-
Veri akışlarının belirlenmesi ve veri envanterinin hazırlanması
-
Yasal sorumlulukların tanımlanması
-
Veri koruma süreçleri ile ilgili gerekli tüm önlemlerin alınması ve uçtan uca veri güvenliÄŸi altyapısının oluÅŸturulması
-
DPO (Veri Koruma Görevlisi) Atanması
-
Mevcut politika ve prosedürleri güncellemek, BaÄŸlayıcı Kurumsal Kuralları (BCR) hazırlamak ve gözden geçirmek
-
Pazarlama ve sosyal medya kanallarında iletiÅŸim süreçlerinin gözden geçirilmesi
GDPR İhlali ve Veri İhlali durumunda yaptırımlar
GDPR kapsamında veri ihlali durumunda,
20 Milyon Euro'ya kadar veya bir önceki mali yılın küresel cirosunun % 4'üne kadar para cezası uygulanacaktır.
​