GDPR NEDİR, NELERİ KAPSAR?

0
39

2018’de yürürlüğe giren ve AB ülkeleri ile e-ticaret yapan şirketleri de bağlayıcı olan Genel Veri Koruma Yönetmeliği (GDPR-General Data Protection Regulation), AB vatandaşlarının gizlilik haklarını korumak amacıyla son 20 yılda yapılan en büyük reformlardan biri olarak adlandırılıyor. Bu kapsamda Türkiye’den AB ülkelerine e-ihracat yapan e-ticaret sitelerinin GDPR ihlalleri sebebiyle milyonlarca Euro’luk cezalarla karşılaşabileceğini unutmamalısınız.

NELER GDPR KAPSAMINA GİRİYOR?

Peki GDPR kapsamına neler giriyor? Özetle, AB vatandaşının onayı olmadıkça kurumların ve şirketlerin artık veri toplama izni yok. Yönetmeliğin yürürlüğe girmesiyle beraber bireylere, verilerini korumaları konusunda önemli ayrıcalıklar verilirken, bu verilerin Avrupa Birliği nezdinde yüksek bir koruma kalkanıyla korunmasının önünü açıldı. GDPR kişisel bilgileri toplayan ve işleyen tüm şirketleri kapsıyor. Ama sadece AB’dekileri değil. AB ile iş yapan tüm firmalar ve e-ihracat yapan sitelere ciddi yükümlülükler geliyor. Bundan sonra AB vatandaşının onayı olmadıkça hiçbir şirket ya da resmi kurum kendisiyle ilgili veri toplayamayacak. Şirketler, internet siteleri ve diğer hizmetlerin veri toplaması sadece açık ve net onay süreci ile mümkün olacak. Verilerin kullanımına onay almak için internet sitelerinde önceden içine çarpı işareti konmuş kutucuklar artık hukuken geçersiz sayılacak. Şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan verileri alabilecek. Unutulma hakkı olarak ifade edilen, kişisel verilerin internetten silinmesi, yasal düzenlemeyle ilk kez sabitlenmiş olacak. Verileri işleyenler talep edilmesi durumunda kişiye veya kuruma dair hangi verileri depoladıklarını, bu verilerle ne yaptıklarını ve kimlere ilettiklerini açıklamak zorunda kalacak. Şirketin hack’lenmesi durumunda kimlerin hassas verilerinin ele geçirildiği konusunda şirket müşterilere açıklama yapmak zorunda olacak ve cezai yaptırımlarla karşılaşacak. İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler, GDPR kapsamına giriyor.

GDPR NEREDEN ÇIKTI?

Konunun biraz tarihçesine de bakalım dilerseniz. 2013 yılında Amerikan Ulusal Güvenlik Dairesi (NSA) eski çalışanı, bilgisayar uzmanı Edward Snowden’ın ‘Amerikan istihbarat servislerinin milyonlarca insanın iletişimini izliyor olduğuna’ ilişkin iddiası gündemde bomba etkisi yaratmıştı. Avrupa’da büyük endişe uyandıran bu iddiaların ardından AB Komisyonu, AB Bakanlar Konseyi ve Avrupa Parlamentosu, AB içinde veri koruma konusuna yeni hukuki temel oluşturmak üzere üç yıl boyunca çalıştı. Sonuç olarak Avrupa Birliği 2016 yılında Genel Veri Koruma Yönetmeliği’ni (GDPR- General Data Protection Regulation) kabul etti. Yönetmelik 2018’de yürürlüğe girdi.

ESKİ SİSTEMLERDE UYUM SORUNU

Bu noktada eski sistemlerin, eski altyapıların, verilerinin konumunu saptamak isteyen CIO’lar için zorluk oluşturacağına da değinelim. Eski sistemler GDPR ile uyumluluk için gerekli değişiklikleri yapmayı zorlaştırıyor. Sitesini kurumsal bir altyapı firmasına teslim etmemiş olan firmalar kötü sürprizlerle karşılaşabilir. Bir altyapı firmasının düzenli olarak sızma testleri yaptırıyor ve şirketlerin verilerini şifreleyerek güvenli sunucularda saklıyor olması gerek. Sitenizi kurumsal bir firmaya değil de herhangi bir kişiye veya kurumsal olmayan bir yere yaptırırsanız, bir veri ihlali durumunda GDPR kapsamında 20 milyon Euro’ya kadar ciddi cezalarla karşılaşabileceğinizi aklınızda bulundurmalısınız. Bu anlamda e-ticaret yapan firmaların hangi altyapı firmasıyla çalıştığına çok dikkat etmesi gerekiyor.

GDPR NELER GETİRİYOR?

İZİN: İzin koşulları güçlendirildi ve şirketler artık yasal terimlerle dolu, uzun, okunması güç kurallar ve koşullar kullanamayacaklar. İznin açık ve düz bir dil kullanılarak bilgilendirici ve kolay erişilebilir bir formda sağlanması gerekiyor. İznin verilmesi kadar iznin geri alınmasının da kolay olması gerekiyor.

UNUTULMA HAKKI: Veri silme olarak da bilinen unutulma hakkı, verinin sahibine, veri denetleyicisinin kişisel verilerini silmesini, verilerin daha fazla yayılmasını ve varsa üçüncü şahısların verileri işlemesini durdurmasını isteme hakkı veriyor.

İHLAL BİLDİRİMİ: Veri ihlali bildirimlerinin mümkünse ihlalin öğrenilmesinden sonraki 72 saat içinde yapılması gerekiyor.

CEVAP VER

Yorumu giriniz!
İsminizi giriniz