GDPR Nedir?
06/12/2019AB Genel Veri Koruma Regülasyonu (GDPR), tüm Avrupa genelinde AB vatandaşlarını korumaya yönelik uyumlu bir dizi veri gizliliği yasası hazırlamak için geliştirildi. Bu regülasyon, 95/46/EC sayılı Veri Koruma Direktifi’nin yerini alır ve bu direktif ile arasında aşağıdakiler gibi ciddi farklar vardır:
Daha geniş yetki alanı. Genel Veri Koruma Regülasyonu, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin kendi konumu fark etmeksizin geçerli olacaktır.
Cezalar. GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir.
Onay. Onay, net ve kolayca anlaşılır bir şekilde istenmeli ve diğer konulardan ayırt edilebilmelidir. Buna ek olarak, onayın geri alınması da verilmesi kadar kolay olmalıdır.
İhlal Bildirimleri: İhlal bildirimleri zorunlu olacaktır ve kurum veya kuruluşun ihlalin farkına varmasını takip eden 72 saat içinde tamamlanması gerekecektir.
Gizlilik. GDPR, veri koruma işlevinin sistemler tasarlanırken baştan dahil edilmesini, sonradan ekleme yoluyla uygulanmamasını şart kılar.
Genel Veri Koruma Regülasyonu ile 95/46/EC sayılı Veri Koruma Direktifi arasındaki en önemli farkların tam listesi için http://www.eugdpr.org/key-changes.html adresini ziyaret edin.
GDPR, hem Avrupa Birliği dahilindeki kuruluşlar hem de AB dışındaki şirketler için geçerlidir. Esas olarak, AB veri öznelerine mal veya hizmet sunan ya da bu öznelerin davranışlarını izleyen tüm kuruluşlar GDPR’den etkilenecektir. Düzenlemeler, hem denetleyiciler hem de işleyiciler için geçerlidir. Bu nedenle, bulut platformları GDPR’den muaf değildir.
GDPR Avrupa birliği sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsar. Şirketin konumu Avrupa birliği sınırları içerisinde bulunmasa dahi bu vatandaşların verilerini topladığı için yönetmelikten sorumlu tutulmaktadır.
Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahip olmaktadır. GDPR geçmişte saklanmış verileri de kapsamaktadır. Genel Veri Koruma Tüzüğü GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar beklemektedir.
Bu kişisel veriler:
– İsim, adres, kimlik numarası
– Konum, Ip adresi, cookie bilgileri vb. internet verileri
– Fiziksel görünüme ait veriler ve biyometrik veriler
– Irk köken bilgileri
– Siyasi görüş
– Tıbbi veriler gibi vb. verileri kapsamaktadır.
Kullanıcı profili oluşturan forum siteleri, ürün satışı yapıp kullanıcı verileri kaydeden e-ticaret siteleri, yorum yapma izi veren WordPress sitesi vb. siteler GDPR ‘dan etkilenmektedir.
Dikkat Edilmesi Gerekken Konular
– Avrupa birliği sınırları içerisinde yaşayan bireylerin verilerini işleyen şirketlerin nerde bulunduğu önemli değildir. Avrupa birliğine üye ülkelerin vatandaşlarının verilerini işleyen tüm işletmeler konumu ne olursa olsun bu yönetmelikten sorumludur.
– Yönetmeliğe uyumlu olmayan siteler için yüksek miktarlarda ceza kesilebilir.
– Kullanıcıdan kişisel verileri alınırken basit bir sistemle ve kolay anlaşılır bir şekilde onayı alınmalı ve iptali de bu şekilde gerçekleştirilmelidir.
– Şirketler için İhlal bildirimleri zorunlu tutulmaktadır.
– Kullanıcıların hangi verilerinin alındığına, nerelerde nasıl kullanıldığına, ne kadar süreyle tutulacağını bilme hakkına sahiptirler
– Kullanıcılar kaydedilen verileri erişim hakkına ve verilerini güncelleme hakkına veya silme hakkına sahiptir. Verileri üstünde kısıtlama da getirebilirler
Yeni düzenlemede dikkat çeken 5 önemli nokta
Eğer e-ihracat yoluyla AB’ye hizmet veya mal satışı yapan bir şirketiniz varsa, GDPR uygulamasına uygunluğunuzu mutlaka gözden geçirmenizde fayda var. GDPR yönetmeliğine uyum sağlamak için şirketlerin mutlaka dikkate alması gereken 5 temel nokta şu şekilde sıralanıyor:
1- Geniş Yetki Alanı:
Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için, şirketin nerede bulunduğu fark etmeksizin GDPR uyumluluğu aranacak. Örneğin, Türkiye merkezli e-ticaret sayfanızdan, Almanya’daki müşterinize satış yapmadan öncesi ve sonrasındaki tüm adımlarda, topladığınız bütün veriler için GDPR uyumluluğu aranacak. (E-posta üyelik, SMS bildirimi, web sitesi izleme ve takip araçları, vb.)
2- Yüksek Cezalar:
GDPR ile uyumlu olmayan denetleyiciler ve işleyiciler dahil tüm kurum ve kuruluşlar, yıllık küresel cirolarının %4’üne veya 20 milyon avroya (hangisi büyükse) varan miktarlarda ceza alabilir.
3- İzin Almak:
Kullanıcıdan kişisel bilgiler istenirken, net ve kolayca anlaşılır bir şekilde onay istenmeli ve bu süreç diğer işlemlerden ya da konulardan ayırt edilebilecek şekilde oluşturulmalı. Kullanıcı vazgeçtiği zaman, daha önceden vermiş olduğu onayı kolaylıkla ve hızla iptal edebilmeli. Buna ek olarak, şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan kişisel verileri talep edebileceklerdir. Örneğin, e-posta, SMS veya uygulama içi bildirimler gibi çok net ve görünür şekilde yönetilebilir olmalıdır. Dileyen kullanıcı basit şekilde bildirimleri kapatabilmelidir.
4- İhlal Bildirimleri:
İhlal bildirimleri zorunlu olacaktır. Yeni düzenlemeye göre kurum veya kuruluşun ihlalin farkına varmasını takip eden 72 saat içinde bildirim işlemini tamamlaması gerekiyor. Örneğin, veritabanına bir sızma olduğu tespit edilirse, 72 saat içerisinde etkilenen kullanıcılar tespit edilmeli, bu kişiler net ve şeffaf şekilde ihlale yönelik bilgilendirilmeli ve çözüm yolları aktarılmalıdır.
GDPR nedir? AB’de veri güvenliğine yönelik yeni düzenleme başlıyor!
5- Gizlilik:
Yeni yönetmelik, veri koruma işlevinin sistemler tasarlanırken daha en baştan işleyişe ve sürece dahil edilmesini, sonradan ekleme yoluyla uygulanmaması şartını da beraberinde getiriyor. Bu nedenle şirketlerin sistemlerini daha ilk günden itibaren yeni yönetmelikle uyumlu olarak tasarlamaları gerekiyor.
Avrupa Birliği ile iş yapan tüm şirketlerin konuya hassasiyetle ve ivedi bir şekilde eğilmesi gerektiği ve yeni düzenlemenin yalnızca birkaç gün içinde yürürlüğe gireceğini hatırlatıyor: “Şirketlerin müşterilerine ve ilgili kişilere ait bilgileri toplaması, saklaması ve işlemesi için, öncelikle bu bilgilerin hangi amaç için ve ne maksatla talep edildiğinin açık bir şekilde belirtilmesi gerekiyor. Eğer amaç değişirse, ilgili kişiden mutlaka yeniden muvaffakiyet alınması şart koşuluyor.
Bu yüzden, AB ile ticari ilişkisi bulunan tüm firmaların kişisel veri ile ilgili işlem yapmadan önce; bu verileri nasıl kullanacaklarıyla ilgili sıkı bir inceleme yapmasını öneriyoruz. İlgili prosedürlerinin anlaşılır olmasını; hiçbir açık bulunmamasını ve Avrupa Birliği’nin yenilenen GDPR düzenlemesiyle birebir uyumlu olup olmadığını çok titiz ve dikkatli bir şekilde kontrol etmeliler. Üstelik bunu çok hızlı bir şekilde, ivedilikle yapmalılar, çünkü yönetmelik 25 Mayıs 2018 tarihinden itibaren yürürlükte olacak. Aksi takdirde şirketler çok ciddi yaptırımlarla karşı karşıya kalabilirler.”
GDPR sizin şirketinizi de etkileyecek mi?
GDPR, hem Avrupa Birliği dahilindeki kuruluşlar hem de Avrupa Birliği dışındaki şirketler için geçerli. Avrupa Birliği vatandaşlarına mal veya hizmet sunan ya da davranışlarını izleyen tüm şirketler GDPR’nin düzenlemelerinden etkileniyor. GDRP uygulaması, hem denetleyiciler hem de işleyiciler için geçerli bir düzenleme olduğundan dolayı oldukça geniş bir etki alanına sahip bulunuyor.
GDPR uyumluluğu için ne yapmak gerekiyor?
GDPR uyumluluğu için şirketlerin atması gereken öncelikli adımları şu şekilde sıralanıyor:
“Öncelikle rutin olarak yapılan işlemler, güvenlik politikaları ve işletmenin hedeflerini GDPR şartlarına göre değerlendirmek ve gerekiyorsa revize etmek gerekir. Bunun dışında şirket çalışanlarının bu konuda eğitim almaları da çok faydalı olacaktır. Şirket yöneticilerinin, ilgili ekiplerinin GDPR konusundaki bilgilerinin tam ve eksiksiz olduğundan emin olmaları gerekir. Öte yandan, yapılan ve yapılacak her işlemin ya da sürecin uygun bir şekilde belgelendirilmesi de gerekir. Bu belgelendirme işleminin GDPR uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirilmesi önemlidir.”