GDPR Danışmanlığı
Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girecek. Güvenlik alanındaki uzmanlar tarafından 2016’nın ikinci çeyreğinden beri tartışıtılmakta olan bu yönergenin ne gibi faydaları olacağı da merak konusu. Yeni yönerge kullanıcı merkezli olduğundan, içinde bulundurduğu tüm maddeler tamamen kullanıcı düşünülerek oluşturulmuş durumda. Bir başka deyişle, yönergenin kullanıcılara yönelik tasarlandığını söyleyebiliriz. GDPR’da kullanıcı, “ilgili kişi” olarak adlandırılmaktadır. Siz, biz ve diğer herkes, kişisel verilerimizin sahipleriyiz.
Daha önceki gizlilik yönergelerinde odak noktası, kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönergeler sayesinde kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdaydı. GDPR’da ise odak noktası doğrudan kullanıcının kendisinin, kişisel verilerine ait hangi haklara sahip olacağı kesin bir çizgi ile çizilmiş. Kişisel verileri işleyen herkes, ilgili kişinin haklarını gözetlediğinden emin olmak zorunda. Dolayısıyla GDPR ile artık madalyonun diğer yüzüne geçildi diyebiliriz.
GDPR ile birlikte kişisel veri tanımı da revize edilerek yeniden yapıldı. Artık, en ufak bir veri dahi doğrudan, yaşayan birine aitse, bu veri artık kişsel tanımlanabilir bilgi (personally identifiable information – PII) olarak ifade ediliyor. Bu sayede veri madenciliği ve Big Data uygulamaları ile uğraşanların da farklı kaynaklardan veri paylaşımı ya da birleştirmek gibi konularda büyük bir mücadeleye gireceği öngörülüyor.
İlgili kişiye ait bilgilerin toplanması, saklanması ve işlenmesi için, öncelikle hangi amaç için ne maksatla bu bilgilerin ele alınacağını açık bir şekilde bildirmek gerekiyor. Eğer amaç değişirse ilgili kişiden yeniden muvaffakiyet almak gerekiyor. Buradan hareketle, Avrupa’daki tüm firmaların kişisel veri ile ilgili işlem yapmadan önce, bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekecek.
Her ne kadar piyasada, firmalara kişisel verilerin işlenmesiyle ilgili yardımcı olacak, verilerin şifrelenmesi ve doğru bir şekilde tasnif edilmesi işlemlerini otomatik olarak gerçekleştirebilen çeşitli teknik araçlar bulunsa da GDPR uyumlu olmak için gerekli işlemler hususunda uzman kişilerden destek almak da bir başka önemli zorunluluk. Bu noktada sadece teknik araçların kullanılması yeterli olmayıp, yetkili kişiler tarafından denetim de bir diğer önemli konu.
Güvenlik politikaları ve işletmenin hedeflerini revize etmek ilk adım için önemli. Sonrasında yöneticilerin ve çalışanların bu konuda eğitim almalarının desteklenmesi gerekmekte. Tüm bunların dışında, yapılacak ve yapılan her işlemin uygun bir şekilde belgelendirilmesi ve bu belgelendirme işleminin de GDPR uyumlu olması, kullanıcıların verilerinin nasıl işleneceğini açık bir şekilde bildirmesi gerek.
GDPR uyum konusunda yapacağınız her türlü çalışmanın her aşamasında profesyonel GDPR danışmanlarımızdan teknik destek alabilirsiniz.