Güvenlik TedbirlerinizGDPR Gerekliliklerini Karşılıyor mu?

AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ (GDPR)
UYUMLULUK DANIŞMANLIĞI

Verisistem işletmeniz için ihtiyaç duyduğunuz Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) süreçlerine uyumluluk sağlamanız için en uygun çözüm ve hizmetleri bütünleyici bir yaklaşım ile sunuyor.

Avrupa Birliği Genel Veri Koruma Tüzüğü «EU General Data Protection Regulation» (GDPR) son 20 yılda, veri güvenliği alanında yapılan en önemli değişikliktir. Avrupa Parlamentosu'nda 14 Haziran 2016 tarihinde onaylanan yasanın uygulama tarihi 25 Mayıs 2018‘dir ve uyumluluk konusunda yasalarla uyum sağlamayan organizasyonlara son derece ağır cezalar getirmektedir.

GDPR Avrupa Parlamentosu ve Avrupa Konseyi’nin 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Direktifi‘nin yerini almıştır. Asıl amacı, Avrupa Birliği vatandaşlarının veri güvenliğini sağlayabilmek adına, organizasyonların uyumluluk konusunda yeniden şekillenmesiyle birlikte etkin bir gizlilik güvenlik yaklaşımına sahip olmalarını sağlamaktır.

General
Data
Protection
Regulation

GDPR'a tabi olmadığınıza emin misiniz?

GDPR ‘ın 3. Maddesi Bölgesel Kapsam ile ilgilidir. Madde'nin ikinci bendinde;

AB dışında kurulu olan bir şirketin herhangi bir ödemeye dayalı olmasa dahi, AB‘de yaşayan bir gerçek kişiye (data subject) ürün ve hizmet önermesi ya da AB içindeki bir gerçek kişinin davranışlarını izlemesi, o şirketin GDPR‘a tabii olduğuna dair yeterli göstergelerdir.

İlgili kanun maddesini yorumlamak gerekirse; örneğin, şirketinizin web sayfasında AB’de konuşulan dillerden biri ile hizmet ve ürün öneriyorsanız (Genişletilmiş Bölgesel Kapsam-Increased Territorial Scope), bir iletişim sayfasından kişilerin bilgilerini toplayarak onlara Avrupada kullanılan para birimleri ile fiyat listesi, teklif sunuyorsanız GDPR kapsamına girmektesiniz. Ayrıca bir web sitesi üzerinden ya da farklı yöntemlerle örneğin, web cookies (çerezler) ile kişilerin bilgilerini tespit etme, profil çıkartma, alışkanlıklarını bulma, IP adreslerini elde etme de bu kapsamda değerlendirilmektedir. Diğer taraftan, AB üye ülkeleri ile ithalat, ihracat ve herhangi bir ticari faaliyet yürütüyorsanız GDPR ile uyumlu olmalısınız.

Nedir?

AB için tanımlanmış kişisel veri kuralları

Güvenlik

GDPR

European Union
General Data Protection Regulation

Güvenlik

Ne Zaman?

Başlangıç:
25 Mayıs 2018

KVKK Başlangıç Tarihi

KVKK için harcayacağınız efor GDPR için gerekli uyumluluk koşullarını sağlar mı?

GDPR‘ın Avrupa sınırlarında ya da Avrupa dışında yaşayan AB vatandaşlarının kişisel verileri ile ilgili olması Türkiye’de mukim şirketlerin önemli bir yanılgıya düşmesine sebep olmaktadır. Aynı şeklide AB Bölgesi dışındaki şirketlerin birçoğu da benzeri bir algıya sahiptir. Örneğin, 2018 yılı itibariyle çeşitli araştırmalara göre Amerikan şirketlerinin % 50‘si GDPR’dan etkilenmeyeceklerini düşünmektedirler. Asya – Pasifik şirketlerinin sadece % 12‘si GDPR ile ilgili hazırlık yapmışlardır.

Bazı yanıltıcı yayınlar GDPR‘ın sadece AB için geçerli bir regülasyon olduğunu bildirmektedir. Bu tamamen yanlıştır. Türkiye’de birçok şirket çeşitli nedenlerle KVKK ile birlikte GDPR kapsamına da girmektedirler. Uyum sürecinde belirlenmesi gereken saklama süreleri, sorumlular, cezalar bakımından farklılaşan iki yasanın gerektirdiği idari ve teknik tedbirlerin birleştirilmiş bir yaklaşımla politika, prosedür ve diğer tüm dokümanlara aktarılmasıdır.

GDPR İhlali Durumunda Yaptırımlar

GDPR kapsamında veri ihlali yapıldığı durumlarda

20 Milyon Euro'ya kadar ya da bir önceki mali yılın global cirosunun %4'üne kadar para cezası uygulanabilir.

Temel Olarak GDPR İçin Yapılması Gerekenler

Risk değerlendirmesi ve organizasyonel kontrollerin oluşturulması

Veri akışlarının tespiti ve veri envanterinin hazırlanması

Yasal sorumlulukların tanımlanması

Veri koruma süreçleri ile ilgili gerekli tüm tedbirlerin alınması ve uçtan uca bir veri güvenliği alt yapısının oluşturulması

DPO (Veri Koruma Memuru) atanması

Mevcut politika ve prosedürlerin güncellenmesi

Pazarlama ve sosyal medyadaki iletişim süreçlerinin tekrar gözden geçirilmesi