Security Blog

GDPR uyumlu olmayan şirketlerin başı ağrıyacak

GDPR olarak da bilinen Genel Veri Koruma Yönetliği, Avrupa Birliği tarafından 2016 yılında kabul ettiği ve kart bilgileri bulunduran her işletmeyi yakından ilgilendiren bir yönetmelik. 25 Mayıs 2018 tarihinde yürürlüğe girecek yeni yönetmelikle birlikte, şirketlerin organizasyon yapılarında mecburi değişiklikler yaşanacak. Yönerge kullanıcı odaklı olduğundan dolayı GDPR, Avupa Birliği içerisinde kişisel verilerin nasıl kullanılacağını kontrol altına almayı ve kişisel veri tutan işletmelerin AB genelinde standartlaşmasını sağlayarak daha net yasal yapıya sahip olmalarını amaçlıyor.

24 Solutions olarak, GDPR uyumluluğu konusunda önemli çalışmalar sürdürmeye devam ediyoruz. GDPR ile birlikte kişisel veri tanımı da revize edilerek yeniden yapılıyor. İsim, fotoğraf, e-posta, banka bilgileri, sosyal medya hesapları, tıbbi veriler, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler, GDPR ile kişisel veri tanımı içerisine alınmışd urumda. GDPR ile Avrupa’daki bireylerin kişisel verileni işleyecek bilgi işlemciler ve denetleyiciler, çeşitli yükümlülükler altına giriyor.

GDPR kişisel bilgileri toplayan ve işleyen şirketleri kapsıyor

Yeni düzenleme şirketin fiziksel konumundan bağımsız olarak, AB’de yaşayan bireylerin kişisel bilgilerini toplayan ve işleyen tüm organizasyonları kapsıyor. Avrupa’ya ister e-ticaret ister ilgili ülkelerdeki fiziksel mağazaları/ofisleri üzerinden ürün veya hizmet satışı yapan tüm firmaların, kişisel veri ile ilgili işlem yapmadan önce bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekiyor. Yönetmelikle birlikte şirketler, herhangi bir AB ülkesinde faaliyet sürdürsün ya da sürdürmesin, AB vatandaşlarına hizmet sunuyorlarsa GDPR yükümlülüklerini yerine getirmek zorundalar.

GDPR, denetleyiciler ve bilgi işlemciler olmak üzere 2 temele dayanıyor:

  • Denetleyici, kişisel verilerin işlenmesinin amaçlarını ve araçlarını kontrol eden; başkalarıyla birlikte veya tek başına, gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer organları kapsıyor.
  • Bilgi işlemci, denetçi adına kişisel verileri işleyen doğal ya da tüzel kişi, kamu otoritesi, ajans ya da diğer organları temsil ediyor.
  • Aktivitelerin ve regulasyonların kontrol edilmesinden bilgi işlemciler sorumludur. Yeni yönetmelikle birlikte bilgi işlemciler veri kaybına uğrarlarsa, veri koruma kanunu kapsamında çok daha fazla sorumlulukla yüzleşmek zorunda kalırlar.

Yönetmeliği uygulamayanlar için ağır cezalar söz konusu

GDPR yükümlüklerini yerine getirmeyen şirketler, yıllık global cirolarının %4’üne denk gelen veya 20 milyon Euro’ya kadar olan para cezasına çarptırılabiliyorlar. Veri işleme konusunda yeterli müşteri iznine sahip olmama veya temel gizliliğin ihlali gibi durumlarda azami yaptırımlar yürürlüğe giriyor. Ancak para cezalarında kademeli bir yaklaşım sergileyen yasa, kayıtları belirlenen standartlarda tutmayan şirketlere cirolarının %2’si gibi bir yaptırım uygulayabiliyor. Bu kuralların hem denetleyiciler hem de bilgi işlemciler için geçerli olduğunu ve bulut hizmetlerinin uygulamadan muaf tutulmadığını unutmamak gerekiyor.

Türkiye’den AB ülkelerine e-ticaret yoluyla veya ilgili ülkelerdeki ofisleri üzerinden ürün veya hizmet satan şirketlerin GDPR uyumlu olabilmeleri için öncelikle planlı olmaları gerekiyor. Organizasyon içerisinde bilinci artırmak, organizasyonun veriyi ele alış biçimini yeniden tanımlamak ve analiz yöntemlerini standartlara uydurmak da büyük önem taşıyor. Geçmişte yaşanan veri ihlallerini yeniden değerlendirmek ve eksikleri saptamak, organizasyonun yapısını yeniden şekillendirmek ve eğitim, planlamanın içerisinde dikkat edilmesi gereken diğer noktaları oluşturuyor. Tüm bu süreçlerin GDPR konusunda tecrübeli ve ilgili yasalara hakim danışmanlarca yönetilmesi kritik önem taşıyor. AB pazarında iş yapan şirketlerin yüksek cezalarla karşılaşmamaları için GDPR uyumluluğu konusunu iş planlarında öncelikler arasına almaları gerekiyor.

GDPR her ne kadar 2018 yılında yürürlüğe girecek olsa da şimdiden uyumluluk çalışmalarına başlamakta fayda var. Eğer siz de firmanızda uyumluluk konusunda hizmet almak istiyorsanız, işe öncelikle PCI DSS uyumluluğundan başlayabilirsiniz.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com