GDPR Mayıs 2018’den İtibaren Etkili Olacak – Sivil Toplum Kuruluşunuz Buna Hazır mı?

GDPR nedir? General Data Protection Regulation (Genel Veri Koruma Yönetmeliği), Avrupa’nın yeni gizlilik yasasıdır. GDPR, bir birey ile bağlantısı olan herhangi bir kişisel verinin koruma seviyesini daha üst seviyelere çeker.

Peki bu, ortalama bir insan ya da organizasyon için ne ifade eder? GDPR şirketlere, devlet kurumlarına, sivil toplum örgütlerine ve diğer organizasyonlara yeni kurallar getirmektedir. Avrupa Birliği’ndeki insanlara ürün veya sağlayan, yahut Avrupa Birliği vatandaşlarına dair veri toplayan ve analiz eden organizasyonlara, bölge fark etmeksizin yeni kurallar koymaktadır.

GDPR ile birlikte sıradan bir bireyin, kişisel verilerini kimin depoladığını, işlediğini ve erişiminin olduğunu bilmesini sağlayan daha açık hakları olacak.

Kuruluşların veri yönetim uygulamalarını gözden geçirmeleri, gereksiz verileri depolayan eski sistemlerden kurtulmaları ve yeni GDPR kurallarınca öngörülen şekilde toplamadıkları verileri de silmeleri gerekmektedir.  Ayrıca uygun örgütsel ve teknik önlemleri belgelemeleri ve sadece güvenilir tedarikçiler ile çalışmalı ya da finans ve itibar açısından büyük riskler ile yüzleşmelidirler.

GDPR ABD merkezli organizasyonları nasıl etkileyecek? ABD’deki pek çok organizasyon AB içerisinde faaliyet göstermemekte, iş yapmamakta ya da bireylerin bilgilerini AB’de işlememektedir. Onlar için GDPR’nin doğrudan bir etkisi bulunmamaktadır. Yine de dünyadaki pek çok ülke gizlilik politikalarında ve düzenlemelerinde temellerini GDPR’ye bakarak yapmaktadır. Microsoft, GDPR standartlarına uymanın kişisel bilgi verilerinin yönetiminde en iyi uygulama olduğuna inanmaktadır.

AB GDPR’yi niçin uygulamaya koydu? Avrupa’da gizlilik bir temel hak sayılmaktadır ve AB bunun korunmasına önem vermektedir. AB’nin yönetim felsefesi, kişisel bilginin kişiye ait olması konseptine dayanmaktadır. Bireylerden toplanan bilgilerin toplayan organizasyona ait olarak görüldüğü ABD’de durum bundan farklıdır.

Veri ihlalleri gündelik yaşamımızın bir parçası haline gelmiş durumda. Ve Avrupa, şirketlerin veri kullanımı konusunda daha ilkeli ve şeffaf olmaları, güvenlik ve veri korumaya yatırım yapmaları için uluslararası düzeyde dünyaya öncülük etmek istiyor. Kişisel bilgileri toplayan veya kullanan bir şirket ya da kurum yalnızca yasal bir temeli varsa iş yapabilir.

Diğer ülkeler de AB’yi izleyip benzer düzenlemeler uygulamaya koyacak mı? GDPR, Avrupa’da yaşayan insanlara herhangi bir ürün ya da hizmet sağlayan herkese uygulanmaktadır. Diğer ülkelerin bazıları benzer kanunların farklı varyasyonları üzerine düşünürken bazı ülkeler GDPR’yi fazlaca kuralcı bulmaktadırlar.

GDPR uygulamalarını kim denetleyecek? GDPR’nin denetlenmesini üye ülkelerdeki Veri Koruma Yetkilileri ve Avrupa Veri Koruma Kurulu üstlenecek.

GDPR ne zaman etkin olacak? 25 Mayıs 2018 tarihinden itibaren yürürlüğe girecektir. Şirketlere yeni düzenlemelere hazırlanmaları için iki yıl öncesinden bildirim gönderilmiş olduğundan icra mühleti olmayacağı açıkça belirtilmiştir.

GDPR için temel gereklilikler nelerdir? GDPR, daha fazla güvenlik, veri koruması, uygun örgütsel ve teknik önlemler, şeffaflık, kayıt tutma, hesap verebilirlik ve destekleyici veri madde taleplerini gerektirir. Ayrıca veri denetçileri tarafından yetkililere 72 saatlik kişisel veri ihlali bildirimini mecbur kılar. Veri koruma sorumluluğu, kuruluşlar ve tedarikçiler arasında paylaşılacak ve ortak bir sorumluluk modeli oluşturulacaktır.

Organizasyonlar, dâhili sistemlerinde kişisel bilgilerin nasıl toplanıldığı ve nasıl işlendiğini bilmek zorundadırlar.  Bu kurala uymak, bilgi toplama ve işlemenin nasıl gerçekleşeceğine ilişkin idari bilinç oluşmasını zorunlu kılacaktır ve meselenin yalnızca IT (enformasyon teknikleri) ya da yasal bir konu olarak değerlendirilmesi mümkün olmayacaktır. İç farkındalık ve eğitim mühim olacaktır.

GDPR’nin kuruluşunuz için geçerli olup olmadığını nasıl bilebilirsiniz? GDPR’ye uyulmadığı takdirde organizasyonunuz için riskler nelerdir? GDPR, AB sınırları içinde faaliyet gösteren veya AB’deki herhangi bir bireyin kişisel verilerini işleyen her kuruluş için geçerlidir. Uygulanmaması durumunda organizasyon AB’deki gizlilik düzenlemelerinden yasal ve mali cezalara ve ek olarak bireylerin yasal taleplerine maruz bırakılacaktır.

Microsoft GDPR gereksinimlerini karşılamada bize yardım edebilir mi? GDPR’ye uygunluk konusundaki nihai yükümlülük organizasyona aittir. Hangi verinin toplanacağı, nasıl kullanılacağı ve organizasyonda kimin bunları yapacağı, kimin sorumlu olacağı konularını belirleme kısmı sivil toplum kuruluşlarına bırakılır. Ayrıca bireylerin kişisel bilgilerini nasıl talep edecekleri, düzeltme ve silme talebinde nasıl bulunabilecekleri konusunu çözmek de sivil toplum kuruluşlarına bağlıdır.

Yine de, Microsoft istenen gereksinimlere ulaşabilmek adına birtakım araçlar sağlıyor. Bizim Azure bulut altyapımız GDPR ile tasarlanmıştır ve GDPR uyumluluğuna yardımcı olacak sistemlere sahiptir. Office 365, E3 ve E5 lisanslarımız, kullanıcının bilmediği durumlarda bile hassas bilgilerin otomatik olarak tanımlanmasını ve etiketlenmesini sağlar. Son olarak, kuruluşların kendi uyumluluklarını takip etmek için kullanabilecekleri bir GDPR uyumluluk panosunu da faaliyete geçirdik.

Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 ve Windows 10’un özelliklerinin ve işlevlerinin GDPR’nin gereksinimlerini karşılamanıza nasıl imkân sağlayacağı hakkında daha fazla bilgi edinmek için yeni Microsoft Trust Center web sitemizdeki GDPR web sayfasını da ziyaret edebilirsiniz.

Bir sonraki adım ne olmalı? Kâr Amacı Gütmeyen Kuruluşlar için Siber Güvenlik ve Gizlilik Rehberi raporumuzu inceleyerek işe başlayın. Bunun ardından, uyumluluğu ve gerekli adımların atılmasını temin etmekten kimlerin sorumlu olacağına kurum içinde karar verin. GDPR uyumluluğu belli bir nihai nokta ile bir gecede gerçekleşmeyecektir; bu sürekli bir yolculuktur.

Etiketler