GDPR nedir?
Şu sıralar Avrupa Birliği’ndeki tüm şirketler hummalı bir şekilde yeni GDPR politikasına hazırlanıyor. Avrupa Birliği içindeki firmalar ve Avrupa Birliği’ne iş yapan firmaları etkileyecek olan Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği içindeki vatandaşların verilerini koruma amaçlı bir karardır. GDPR, Avrupa Birliği Konseyi, Avrupa Parlamentosu ve Avrupa Komisyonu tarafından vatandaşların kendi kişisel verileri üzerinde daha fazla kontrol sahibi olmaları yönünde bir hareket.
Birkaç yıl süren inceleme düzenleme iyileştirme ve tartışmalardan sonra, yönetmelik 14 Nisan 2016 tarihinde Avrupa Parlamentosu tarafından resmen onaylandı. AB, kuruluşların uyum sağlaması için iki yıllık bir geçiş dönemine izin verdi. 25 Mayıs 2018 itibariyle, GDPR tarafından belirlenen kurallara uymayan işlere ağır para cezaları uygulanacaktır.
GDPR’den kim etkilenecek?
GDPR, Avrupa Birliği’nin tüm vatandaşları ve fiziksel konumu ne olursa olsun AB içinde faaliyet gösteren işletmeler için geniş kapsamlı etkilere sahiptir. Eğer işletmeler AB vatandaşlarına mal veya hizmet sunmayı istiyorlarsa, GDPR nın dayattığı kısıtlara tabi olacaklar. Ayrıca, AB vatandaşlarının kişisel verilerini tutan her türlü iş, GDPR altında sorumlu kılınacak.
Genel Veri Koruma Yönetmeliği kapsamına hangi veriler giriyor:
- Ad
- Her türlü fotoğraf
- Her türlü mesaj
- Eposta adresi
- Sosyal medya mesajları
- Kişisel tıbbi bilgi
- IP adresleri
- Banka detayları
GDPR, kişisel ayrıntılar olarak sınıflandırılabilecek veya kimliğinizi belirlemek için kullanılabilecek tüm bilgileri kapsar. 16 yaş ve altı çocuklar ile ilgili herhangi bir veriyi işlemek için Ebeveyn onayı zorunludur.
Yönetmelik, GDPR tarafından etkilenecek olanları belirler. Özellikle veri işlemcileri ve veri denetleyicileri içerir. Ne anlama geliyor? “Bulut” veya ayrı bir fiziksel yerde saklanan bilgiler hala cezaya tabidir. Bilgilerinizin nasıl kullanılacağını belirleyenler ve kullananlar kim olursa olsun, AB vatandaşlarının verileriyle ilgili olarak para cezalarına çarptırılabilir..
GDPR ya uymama cezaları
GDPR’ya uymayan işletmeler, 2018 mayısından itibaren para cezalarına tabi olacaklar. Bu, işletmeler için ihlal düzeyine bağlı olarak farklı seviyeler anlamına gelebilir. En yüksek noktada, işletmelerin küresel cirosunun yüzde 4’üne kadarını veya 20 milyon Euro’yu (hangisi en yüksekse) ödemesi istenebilir. Şirketler, kayıtları düzenli tutmak için gerekli önlemleri almamaktan ötürü yüzde 2 oranında parasal cezaya çarptırılabilir. Nihayetinde, ceza, ihlalin niteliğine bağlı olacaktır. Bu nedenle, bir şirketin AB’de yerleşik müşterileri varsa, bu GDPR gereklilikleri ciddiye alınmalıdır.
Veri ihlalleri ve GDPR
Bir veri ihlali, harici bir varlığın, bireyin iznine gerek duymadan kullanıcı verilerine erişebildiği herhangi bir durumdur. Veri ihlalleri genellikle verilerin kullanıcılara karşı kötü niyetli kullanımını içerir.
Bir veri ihlali oluşması durumunda, GDPR, şirketlerin yeterli bildirim sağlaması gerektiğini belirtir. Etkilenen şirketin uygun veri koruma kuruluşuna bildirmesi için 72 saati vardır ve etkilenen bireyleri “gereksiz gecikme olmaksızın” bilgilendirmelidir.
GDPR veri koruma protokolleri, bilginin nereye gönderildiği, nerede işlendiği veya nerede saklandığı yerden bağımsız olarak, tüm AB vatandaşlarının “ Kişisel Tanımlanabilir Bilgileri” (KTB – PII) için geçerli olmalıdır.
Kişisel tanımlanabilir bilgiler:
Tam ad (yaygın değilse)
Yüz (bazen)
Ev adresi
E-posta adresi (bir dernek / kulüp üyeliğinden vb.)
Ulusal kimlik Numarası
Pasaport numarası
Araç plakası numarası
Ehliyet numarası
Yüz, parmak izi veya el yazısı
Kredi kartı numaraları
Dijital kimlik
Doğum tarihi
doğum yeri
Genetik bilgi
Telefon numarası
Giriş adı, ekran adı, takma ad veya tanıtıcı
olup, sadece bunla kısıtlı değildir ve tüm bunlar GDPR ya dahildir.
Ayrıca, bu tür KTB verilerine sahip olan şirketin, bu veriler için geçerli korumaların mevcut olduğunu doğrulamak ve kanıtlamak için bir sürece sahip olduğunu göstermesi gerekir. Şirketler orada ofisleri yok ya da AB’de veri işlemiyor diye GDPR’den muaf değiller. AB’nin veri gizliliği kavramı ABD’den TR dan büyük ölçüde farklıdır, ancak AB’li vatandaşlarla iş yapan Türk şirketler hala GDPR’nin katı şartlarına uymak zorunda kalacaklar.
GDPR : Detaylı Bilgi
Belirli bazı durumlarda, şirketlerin GDPR uyumundan sorumlu olacak bir “Veri Koruma Görevlisi” (DPO) pozisyonu oluşturmaları gerekmektedir. Uyum için hazırlanacak maliyetler, eğitimli personel için gereksinimler ve teknolojideki finansal yatırımları içerecektir.
GDPR nin katı şartlarına uymanın bir yolu olması, basit bir görev değildir. Planlamaya uyulması zorunludur, bu nedenle düzenlemelerin Mayıs 2018’e kadar yürürlüğe girmesi amaçlanmamıştır. GSYİH’ya uygunluk için ele alınması gereken karmaşık konulardan bazıları şunlardır:
- Elektronik bilgi nasıl depolanır, aktarılır, erişilebilir ve güvenceye alınır.
- Belge saklama çizelgeleri ve nasıl uygulandıkları.
- Uyuma dair yazılı kanıt.
Etkili bir uyum stratejisi oluşturmak maliyetli olacaktır ve birçok şirket bu endişeleri ele almak için gerekli olan fonlar için öngörülen yıllık bütçesine para ayırmamıştır, yani acil durum veya diğer acil durum planlama bütçelerinden gelecektir.
Hassas bilgilerin yönetimi, GDPR uyumluluğuna ilişkin bir sorundur. GDPR tarafından GSYİH’nin devrinde getirilen kısıtlamalar, teknoloji kullanımıyla çözülebilir. Bir iş kaydındaki hassas içeriğin tanımlanması ve içerik bölümlerini redakte etme yeteneği, belirli bir dosyanın GDPR tarafından belirlenen kurallara göre aktarılıp aktarılamayacağını etkileyebilir.Verilerin içeriğini tanımlamak için bir araç olması, GDPR us uyum için şarttır. “Bilgi Yönetimi” (KM) uygulamaları da bir kurumun GDPR ya uyum yeteneğini artıracaktır. Kurumun sahip olduğu bilgilerle ilgili olarak iş zekası oluşturma yeteneği, GDPR ya uyum için önemli bir avantaj sağlayacaktır. Yalnızca bir işletmenin sahipliğinde ve kontrolünde bulunan dosyaların değil, aynı zamanda bu dosyaların içerdiği içerik düzeyinin bilinmesi, AB müşterileriyle iş yapmak için bir ön koşul olacaktır.
GDPR Uyumunu Karşılama
GDPR’nın özellikle veri korumalarını kanıtlama yeteneğini gerektirdiği için mevcut gizlilik güvencelerinin belgelenmesi şarttır. Tüm dokümantasyon ve süreçler: veri nerede; ne tür veriler var; verilere erişimi olan kimler; veri içeriğinde ne var; veri nasıl saklanıyor; veri nasıl aktarılıyor; Yeni oluşturulan veriler nasıl birleştirildi? gibi konuları açıkça ele almalıdır Bu soruların cevapları olmadan, GDPR uyumu imkansızdır.
Aşağıda, GDPR nın gereksinimlerini karşılamak için özel olarak uygulanabilecek öneriler bulunmaktadır:
Veri Eşleme . Bir VKU (Veri Koruma Uzmanı), şirket verilerinin yerini ve / veya içeriğini bilmiyorsa, bu bilgilerin GDPR gerekleri uyarınca tam olarak korunması imkansızdır. Tüm veri kaynaklarının yeri bilgisi olmadan uyumsuzluk riski çok yüksek olduğu için veri haritalamaya duyulan ihtiyaç oldukça açıktır. Kurumun veri haritası eksik veya yetersiz ise, bu bilgileri güncellemek için şirketteki BT paydaşlarıyla bir çalışma yapılmalıdır. Kapsamlı bir veri yönetim planı oluşturmak için BT, yönetim ve kurumsal hukuk departmanı arasındaki işbirliği, GDPR uyumuna yönelik hayati bir adımdır. Bulut hizmetleri sağlayıcıları veya veri arşivleme şirketleri dahil olmak üzere üçüncü taraf sağlayıcılar tarafından saklanan kurumsal veriler de dikkat gerektirir. Üçüncü taraf sağlayıcıların sahip olduğu veriler, ayrıca dışarıdan hukuk müşavirlik şirketleri tarafından tutulan bilgiler de dahil olmak üzere, şirkete uygulanan GDPR düzenlemelerine tabidir. Kurumun elinde bulundurma veya kontrol etme hakkına sahip veriler, AB vatandaşlarının bilgilerini içeriyorsa, GDPR ya uygunluk için gerekli adımları atmalıdır.
Dosya İçeriğini Anlamak . Birçok şirket, kendi içsel içeriğinin içeriğini bilmesi gerekliliğine hazırlıklı görünüyor. Verilerin nerede bulunduğunu bilmek, yalnızca denklemin bir parçasıdır. Bir kurum ayrıca verilerin ne olduğunu ve içerdiğini de bilmelidir. Örneğin, sözleşmeler ve sözleşmeler gibi yasal olarak bağlayıcı dosyalar mı? Dosyalar kullanıcıların bilgileri gibi hassas veriler içeriyor mu?
Rıza GDPR’nin önemli bir gerekliliği, kişisel verilerin elde edilmesinden, saklanmasından veya kullanılmasından önce bir bireyin özel onayını almasıdır. Kurum, bireyin verilerini işlemek için izin veren açık bir olumlu eylem veya açıklama sağlamalıdır. Ayrıca, GDPR bireyin “Unutulma Hakkı” na sahip olduğunu ve kişisel bilgilerinin kullanımdan açıkça kaldırılmasını talep edebileceğini kabul etmiştir.Bir bireyin bilgilerini işlemek için başka yasal neden olmadan, şirket gereksiz gecikme olmaksızın verileri silme talebine saygı göstermelidir.
Bilgi İsteği . Bireyin kendileri hakkında toplanan ve saklanan kişisel bilgilere erişim talep etme hakkı vardır. Birey, kişisel verilerinden herhangi biri hakkında bir şirketten bilgi talep edebilir; bunlar arasında; bilgiye erişimleri, verilere nasıl erişildiği;erişildiği yer; ve erişildiği amacı. Ayrıca, AB vatandaşı bu bilgilerin yanlış olduğunu düşünürse, bir kişi kişisel verileriyle ilgili düzeltmeler de yapabilmelidir. Birey, şirket tarafından profil oluşturma için verilerinin kullanımına itiraz edebilir.
Saklama Planları . Kurumsal belge saklama programlarını zorunlu kılmanın yanı sıra, uygun tutma protokollerini de sürdürmek, birçok şirket için zaten bir zorluktur. Söz konusu verilerin sahipliğini korumak için yasal bir zorunluluk olmadığında, bilgilerin muhafaza edilmesine ilişkin doğal riskler vardır. Uygulanabilir bir belge tutma takviminin dışında kalan belirli bilgilerle etkili bir şekilde dağıtmak, GDPR uyumluluğunun önemli bir bileşenidir.
Güvenlik İhlalleri . GDPR’nin kapsayıcı bir bileşeni, veri ihlallerini önlemek için siber güvenlik önlemleri sağlamanın yanı sıra, hem denetleyici otoriteye hem de bilgileri açığa çıkarılan kişilere veri ihlallerinin bildirilmesiyle ilgili hükümleri ifade etme ihtiyacını ifade etmektedir. Bu nedenle, şirketler sadece bir ihlal meydana geldiğinde farkında olmakla kalmamalı, aynı zamanda özel olarak maruz kaldıkları ihlalden etkilenen kişilere bildirimde bulunmaları için bir vasıta bulundurmalıdır.
Veri aktarımı GDPR, kişisel bilgilerin aktarılmasına açık kısıtlamalar getirmektedir. Şirketler, izinsiz veri aktarımlarını önlemek için uygulanabilir bir plana sahip olmalıdır. GDPR, AB dışındaki yerlere veri aktarımı ile ilgili sıkı gereklilikler ortaya koyar. GDPR kuralları uyarınca bir veri transferine izin verilip verilmeyeceği, bilgilerin içeriği ile ilgili bir dizi sorgunun cevaplanmasını gerektirecektir. Söz konusu verilerde kişisel bilgi veya başka bir şekilde hassas bilgi mevcutsa, muhtemelen bu bilgilerin aktarımı için izinleri iptal eden ek kısıtlamalar uygulanacaktır. Bütün bir dosya, belirli koşullar altında transfer edilmeyebilir, dolayısıyla AB dışındaki kişilerin bu bilgileri görmesini yasaklar. Diğer durumlarda, bir dosyanın içeriğinin bir kısmı izin verilen aktarımı engelleyebilir, ancak söz konusu belirli içeriği redakte etmek için eylemler gerçekleştirilirse, dosyanın geri kalanı veri aktarımı için izin verilebilir.
Otomatik Sınıflandırma Nedir ve GDPR Uyumuna Nasıl Yardımcı Olur?
Bir kuruluşun sahip olduğu tüm verilerin, GDPR düzenlemelerine uymak için düzgün bir şekilde yönetilmesi, çoğu işletme için son derece zor bir iştir. GDPR gereklilikleri, kurumsal bilgilerin yaşam döngüsünü doğru bir şekilde yönetmek için otomasyona olan güvenin artmasını zorunlu kılmaktadır.
Şirketlerin sahip olduğu veri hacmindeki patlama, bilgi yönetimine yardımcı olan çeşitli teknolojilerin ilerlemesine yol açmıştır. Uyumluluk ve siber güvenlik için en iyi kurumsal uygulamalar, GDPR düzenlemelerine hitap eden teknolojinin kullanımı için yol göstericidir. GDPR görevleriyle mücadele eden şirketlere muazzam bir varlık olarak hizmet edecek özel bir otomasyon teknolojisi, “Otomatik Sınıflandırma” olarak adlandırılmaktadır.
Otomatik Sınıflandırma Yazılımı verileri, içerik düzeyinde bilgi toplar ve daha sonra, dosyaların özüne göre dosyaları sınıflandırır. Bu teknik zaten IG stratejilerinin bir parçası olarak birçok şirket tarafından kullanılmaktadır. Otomatik sınıflandırmanın bilgileri kategoriye göre veya belirli özelliklere göre gruplama yeteneği, GDPR ya uygunluk açısından yararlı olacaktır. Benzer şekilde, Otomatik sınıflandırmanın kişisel ve diğer hassas içeriğin varlığını tespit etme yeteneği, GDPR korumaları oluşturmaya geldiğinde en iyi uygulama olacaktır.
GDPR’ye uyum konusunda bir engel, şu anda çoğu kurumsal ağda bulunan geniş bir “Karanlık Veri ” miktarıdır. Karanlık veri, paylaşılan dosya sunucularında veya içerik veya amacı büyük ölçüde bilinmeyen çalışanların e-posta gelen kutularında bulunan bilgilerdir. Otomatik Sınıflandırma, bilinmeyen bilginin korunmasına yardımcı olur ve bu verilerin içeriğine ve kökenlerine ışık tutar. Belge yönetim sistemleri (DMS’ler) veya kurumsal içerik yönetim sistemleri (Enterprise Content Management-ECM’ler) kullanan şirketler, belge / içerik yönetimi platformunun dışındaki dosyaları kategorilere ayırmak için Otomatik Sınıflandırma’ya güvenir ve daha sonra bu bilgileri sistemlerinde klasör düzeyindeki taksonomilere yerleştirir.
Otomatik Sınıflandırma yazılımı, dosya içeriklerini ve öznitelikleri algılamak için yapay zeka ile birlikte yapay zeka algoritmalarını kullanır: kişisel bilgiler; yazarlık ve kökeni; belgenin türü veya formatı; ve beklenen saklama süresi.
Ek olarak, Otomatik Sınıflandırma teknolojileri, dosya yerleştirme ile ilgili bir dizi özelleştirilmiş kurallar izler. Örneğin, kural tabanlı Otomatik Sınıflandırma sistemi, belirli bir belgenin saklama zamanlamasını zorlar ve ardından dosyayı uygun klasör sınıflandırması yapısına yerleştirir. Otomatik sınıflandırması teknolojisi, sahip olduğu bilgileri, nerede yaşadığını ve farklı koşullar altında nasıl ele alınacağını tespit edebilecek bir sisteme sahip olmak için özellikle karşılar.
Uygun bir Kural Motoru ile, hassas bilgiler, erişim girişiminde bulunan kullanıcının coğrafi konumuna dayalı sınırlamalar dahil olmak üzere, bireysel güvenlik düzeyi kısıtlamaları ile korunur. Kurallar, AB dışındaki yerlere uygunsuz bilgi transferini engellemek için de kullanılır. Dahası, kurallar, bu tür bilgilerin silinmeye uygun hale getirilmesini sağlayacak belirli verilerle ilişkili bir son kullanma tarihi gibi belirli olayları tetiklemek için kullanılır.
Sonuç
GDPR düzenlemelerine uyum, çoğu işletme için küçük bir görev olmayacak olsa da, otomasyonun kullanımı görevi daha kolay yönetebilir hale getirmektedir. Her organizasyonun olması gerektiği kadar proaktif olmasa da, bu şirketlerin GDPR düzenlemelerine hazırlanmaları ve para cezalarının uygulanmasından kaçınmaları için hala zaman var. Para cezalarından kaçınması en muhtemel olan şirketler, kişisel hassas verilere gereken korumaları sağlamak için atılan adımları otomatik olarak belgeleyen bir DPO’lu olanlardır.Benzer şekilde, yerleşik IT güvenlik protokollerine sahip olan ve denetimlerden geçmiş olan kurumların GDPR uyumuna yönelik daha kolay bir yolu olacaktır.
GDPR nın yol açtığı iş kesintisi olasılığı, uygunsuzluk için sıkı para cezalarından bahsetmemekle birlikte, yatırım hesaplamasında birkaç kez geri dönüşü kanıtlamaktadır. Dahası, gelişmiş bilgi yönetimi tekniklerinden elde edilen faydalar sadece GSYİH’ya uyumu değil, aynı zamanda kurumsal verimlilik ve bilgi yönetimi yeteneklerini de desteklemektedir.
Kesinlikle teknoloji, iş için bazı benzersiz zorluklar yaratıyor. Kurumların sahip olduğu kişisel verilerin hacmi patlamaya devam ettikçe, bireylerin mahremiyetini korumak gittikçe zorlaşmaktadır. Ancak, insanların, süreçlerin ve teknolojinin uygun bir kombinasyonunun akıllıca kullanılması yoluyla, GDPR uyumunun zorlukları yeterince karşılanabilir. Tersine, Mayıs 2018’in son tarihini beklemek, bu soruna hitap edecek adımlar atmadan yaklaşmak için çok maliyetli olabilir.