Güvenlik TedbirlerinizGDPR Gerekliliklerini Karşılıyor mu?
AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ (GDPR)
UYUMLULUK DANIŞMANLIĞI
VeriSistem®, işletmeniz için ihtiyaç duyduğunuz Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) süreçlerine uyumluluk sağlamanız için en uygun çözüm ve hizmetleri bütünleyici bir yaklaşım ile sunuyor.
Avrupa Birliği Genel Veri Koruma Tüzüğü «EU General Data Protection Regulation» (GDPR) son 20 yılda, veri güvenliği alanında yapılan en önemli değişikliktir. Avrupa Parlamentosu'nda, 14 Haziran 2016 tarihinde onaylanan yasanın uygulama tarihi 25 Mayıs 2018'dir ve GDPR ile uyumluluk konusunda, yasalarla uyum sağlamayan organizasyonlara son derece ağır cezalar getirmektedir.
GDPR, Avrupa Parlamentosu ve Avrupa Konseyi'nin 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Direktifi'nin yerini almıştır. Asıl amacı, Avrupa Birliği vatandaşlarının veri güvenliğini sağlayabilmek adına, organizasyonların uyumluluk konusunda yeniden şekillenmesiyle birlikte başta bilgi gizliliği olmak üzere etkin bir gizlilik - güvenlik yaklaşımına sahip olmalarını sağlamaktır.
General
Data
Protection
Regulation
GDPR'a tabi olmadığınıza emin misiniz?
GDPR'ın 3'üncü Maddesi Bölgesel Kapsam ile ilgilidir. Madde'nin 2'nci bendinde;
AB dışında kurulu olan bir şirketin herhangi bir ödemeye dayalı olmasa dahi, AB'de yaşayan bir gerçek kişiye (data subject) ürün ve hizmet önermesi ya da AB içindeki bir gerçek kişinin davranışlarını izlemesi, o şirketin GDPR'a tabi olduğuna dair yeterli göstergelerdir.
İlgili kanun maddesini yorumlamak gerekirse; örneğin, şirketinizin web sayfasında AB'de konuşulan dillerden biri ile hizmet ve ürün öneriyorsanız (Genişletilmiş Bölgesel Kapsam-Increased Territorial Scope), bir iletişim sayfasından kişilerin bilgilerini toplayarak, onlara Avrupa'da kullanılan para birimleri ile fiyat listesi, teklif sunuyorsanız GDPR kapsamına girmektesiniz. Ayrıca bir web sitesi üzerinden ya da farklı yöntemlerle; örneğin, web cookies (çerezler) ile kişilerin bilgilerini tespit etme, profil çıkarma, alışkanlıklarını bulma, IP adreslerini elde etme de bu kapsamda değerlendirilmektedir. Diğer taraftan, AB üye ülkeleri ile ithalat, ihracat ve herhangi bir ticari faaliyet yürütüyorsanız GDPR ile uyumlu olmalısınız.
Nedir?
AB için tanımlanmış kişisel veri kuralları
GDPR
European Union
General Data Protection Regulation
Ne Zaman?
Başlangıç:
25 Mayıs 2018
KVKK için harcayacağınız efor GDPR için gerekli uyumluluk koşullarını sağlar mı?
GDPR'ın Avrupa sınırlarında ya da Avrupa dışında yaşayan AB vatandaşlarının kişisel verileri ile ilgili olması, Türkiye'de mukim şirketlerin önemli bir yanılgıya düşmesine sebep olmaktadır. Aynı şekilde AB Bölgesi dışındaki şirketlerin birçoğu da benzeri bir algıya sahiptir. Örneğin, 2018 yılı itibariyla çeşitli araştırmalara göre, Amerikan şirketlerinin %50'si GDPR'dan etkilenmeyeceklerini düşünmektedirler. Asya – Pasifik şirketlerinin sadece %12'si GDPR ile ilgili hazırlık yapmışlardır.
Bazı yanıltıcı yayınlar, GDPR'ın sadece AB için geçerli bir regülasyon olduğunu bildirmektedir. Bu tamamen yanlıştır. Türkiye'de birçok şirket çeşitli nedenlerle KVKK ile birlikte GDPR kapsamına da girmektedirler. Uyum sürecinde belirlenmesi gereken saklama süreleri, sorumluluklar, cezalar bakımından farklılaşan iki yasanın gerektirdiği idari ve teknik tedbirlerin birleştirilmiş bir yaklaşımla; politika, prosedür ve diğer tüm dokümanlara aktarılması önem arz etmektedir.
GDPR İhlali Durumunda Yaptırımlar
GDPR kapsamında veri ihlali yapıldığı durumlarda
20 Milyon Euro'ya kadar ya da bir önceki mali yılın global cirosunun %4'üne kadar para cezası uygulanabilir.
GDPR ile Uyumluluk için Temel Olarak Yapılması Gerekenler
Risk değerlendirmesi ve organizasyonel kontrollerin oluşturulması
Veri akışlarının tespiti ve veri envanterinin hazırlanması
Yasal sorumlulukların tanımlanması
Veri koruma süreçleri ile ilgili gerekli tüm tedbirlerin alınması ve uçtan uca bir veri güvenliği altyapısının oluşturulması
DPO (Veri Koruma Görevlisi) atanması
Mevcut politika ve prosedürlerin güncellenmesi, Bağlayıcı Şirket Kuralları’nın (BCR) hazırlanması ve gözden geçirilmesi
Pazarlama ve sosyal medyadaki iletişim süreçlerinin tekrar gözden geçirilmesi
Bilgilendirme Metni!