Avrupa Birliğinin 2016’da kabul ettiği Genel Veri Koruma Yönetmeliği ( GDPR ), 25 Mayıs 2018’de yürürlüğe giriyor. Yeni yönetmelikle birlikte, şirketlerin organizasyon yapılarında mecburi değişiklikler yaşanacak.
Yönerge kullanıcı odaklı olduğundan dolayı GDPR, Avupa Birliği içerisinde kişisel verilerin nasıl kullanılacağını kontrol altına almayı ve kişisel veri tutan işletmelerin AB genelinde standartlaşmasını sağlayarak daha net yasal yapıya sahip olmalarını amaçlıyor.
GDPR uyumluluğu konusunda önemli çalışmalar yürüten 24 Solutions, GDPR ile birlikte kişisel veri tanımının da revize edilerek yeniden yapıldığına dikkat çekiyor. İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler, GDPR ile kişisel veri tanımı içerisine alındı. GDPR ile Avrupa’daki bireylerin kişisel verileni işleyecek bilgi işlemciler ve denetleyiciler, çeşitli yükümlülükler altına giriyor.
GDPR kişisel bilgileri toplayan ve işleyen şirketleri kapsıyor
Yeni düzenleme şirketin fiziksel konumundan bağımsız olarak, AB’de yaşayan bireylerin kişisel bilgilerini toplayan ve işleyen tüm organizasyonları kapsıyor. Avrupa’ya ister e-ticaret ister ilgili ülkelerdeki fiziksel mağazaları/ofisleri üzerinden ürün veya hizmet satışı yapan tüm firmaların, kişisel veri ile ilgili işlem yapmadan önce bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekiyor. Yönetmelikle birlikte şirketler, herhangi bir AB ülkesinde faaliyet sürdürsün ya da sürdürmesin, AB vatandaşlarına hizmet sunuyorlarsa GDPR yükümlülüklerini yerine getirmek zorundalar.
GDPR, denetleyiciler ve bilgi işlemciler olmak üzere 2 temele dayanıyor:
- Denetleyici, kişisel verilerin işlenmesinin amaçlarını ve araçlarını kontrol eden; başkalarıyla birlikte veya tek başına, gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer organları kapsıyor.
- Bilgi işlemci, denetçi adına kişisel verileri işleyen doğal ya da tüzel kişi, kamu otoritesi, ajans ya da diğer organları temsil ediyor.
Aktivitelerin ve regulasyonların kontrol edilmesinden bilgi işlemciler sorumludur. Yeni yönetmelikle birlikte bilgi işlemciler veri kaybına uğrarlarsa, veri koruma kanunu kapsamında çok daha fazla sorumlulukla yüzleşmek zorunda kalırlar.
Yönetmeliği uygulamayanlar için ağır cezalar söz konusu
GDPR yükümlüklerini yerine getirmeyen şirketler, yıllık global cirolarının %4’üne denk gelen veya 20 milyon Euro’ya kadar olan para cezasına çarptırılabiliyorlar. Veri işleme konusunda yeterli müşteri iznine sahip olmama veya temel gizliliğin ihmali gibi durumlarda azami yaptırımlar yürürlüğe giriyor. Ancak para cezalarında kademeli bir yaklaşım sergileyen yasa, kayıtları belirlenen standartlarda tutmayan şirketlere cirolarının %2’si gibi bir yaptırım uygulayabiliyor. Bu kuralların hem denetleyiciler hem de bilgi işlemciler için geçerli olduğunu ve bulut hizmetlerinin uygulamadan muaf tutulmadığını unutmamak gerekiyor.
GDPR uyumluluğu konusunda çok sayıda şirkete danışmanlık sunduklarını belirten 24 Solutions’ın Türkiye Ülke Direktörü Emrah Elmas, “Türkiye’den AB ülkelerine e-ticaret yoluyla veya ilgili ülkelerdeki ofisleri üzerinden ürün veya hizmet satan şirketlerin GDPR ile uyumlu olabilmeleri için öncelikle planlı olmaları gerekiyor. Organizasyon içerisinde bilinci artırmak, organizasyonun veriyi ele alış biçimini yeniden tanımlamak ve analiz yöntemlerini standartlara uydurmak da büyük önem taşıyor. Geçmişte yaşanan veri ihlallerini yeniden değerlendirmek ve eksikleri saptamak, organizasyonun yapısını yeniden şekillendirmek ve eğitim, planlamanın içerisinde dikkat edilmesi gereken diğer noktaları oluşturuyor. Tüm bu süreçlerin GDPR konusunda tecrübeli ve ilgili yasalara hakim danışmanlarca yönetilmesi kritik önem taşıyor. AB pazarında iş yapan şirketlerin yüksek cezalarla karşılaşmamaları için GDPR uyumluluğu konusunu iş planlarında öncelikler arasına almaları gerekiyor” dedi.
