Security Blog

GDPR Ne Demek? Ne zaman yürürlüğe girecek?

Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girecek. Güvenlik alanındaki uzmanlar tarafından 2016’nın ikinci çeyreğinden beri tartışıtılmakta olan bu yönergenin ne gibi faydaları olacağı da merak konusu. Peki GDPR nedir? Sonuçları neler olacak? İşletmelere getirdiği kazanımlar nelerdir?

Yeni yönerge kullanıcı merkezli olduğundan, içinde bulundurduğu tüm maddeler tamamen kullanıcı düşünülerek oluşturulmuş durumda. Bir başka deyişle, yönergenin kullanıcılara yönelik tasarlandığını söyleyebiliriz. GDPR’da kullanıcı, “ilgili kişi” olarak adlandırılmaktadır. Siz, ben ve diğer herkes, kişisel verilerimizin sahipleriyiz.

Daha önceki gizlilik yönergelerinde odak noktası, kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönergeler sayesinde kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdaydı. GDPR’da ise odak noktası doğrudan kullanıcının kendisinin, kişisel verilerine ait hangi haklara sahip olacağı kesin bir çizgi ile çizilmiş. Kişisel verileri işleyen herkes, ilgili kişinin haklarını gözetlediğinden emin olmak zorunda. Dolayısıyla GDPR ile artık madalyonun diğer yüzüne geçildi diyebiliriz.

GDPR ile birlikte kişisel veri tanımı da revize edilerek yeniden yapıldı. Artık, en ufak bir veri dahi doğrudan, yaşayan birine aitse, bu veri artık kişsel tanımlanabilir bilgi (personally identifiable information – PII) olarak ifade ediliyor. Bu sayede veri madenciliği ve Big Data uygulamaları ile uğraşanların da farklı kaynaklardan veri paylaşımı ya da birleştirmek gibi konularda büyük bir mücadeleye gireceği öngörülüyor.

İlgili kişiye ait bilgilerin toplanması, saklanması ve işlenmesi için, öncelikle hangi amaç için ne maksatla bu bilgilerin ele alınacağını açık bir şekilde bildirmek gerekiyor. Eğer amaç değişirse ilgili kişiden yeniden muvaffakiyet almak gerekiyor. Buradan hareketle, Avrupa’daki tüm firmaların kişisel veri ile ilgili işlem yapmadan önce, bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekecek.

Her ne kadar piyasada, firmalara kişisel verilerin işlenmesiyle ilgili yardımcı olacak, verilerin şifrelenmesi ve doğru bir şekilde tasnif edilmesi işlemlerini otomatik olarak gerçekleştirebilen çeşitli teknik araçlar bulunsa da GDPR uyumlu olmak için gerekli işlemler hususunda uzman kişilerden destek almak da bir başka önemli zorunluluk. Bu noktada sadece teknik araçların kullanılması yeterli olmayıp, yetkili kişiler tarafından denetim de bir diğer önemli konu.

Rutin olarak yapılan işlemler, güvenlik politikaları ve işletmenin hedeflerini revize etmek gerek. Bunun dışında yöneticilerin, çalışanların bu konuda eğitim almalarını da sağlaması lazım. Tüm bunların dışında, yapılacak ve yapılan her işlemin uygun bir şekilde belgelendirilmesi gerek. Bu belgelendirme işleminin de GDPR uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirmesi gerek.

Her ne kadar GDPR’a sadece yüzeysel olarak ele almış olsam da yeni yönergelerin firmaların çalışmalarında büyük bir değişiklik oluşturacağını düşünüyorum. Bu yazıda, GDPR uyumlu olmayan firmaların ne gibi yaptırımlarla karşılaşacağına değinmedim. Ancak ilerleyen zamanlarda bu konuyu da tekrar masaya yatırmayı düşünüyorum.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com