Genel Veri Koruma Tüzüğü (GDPR) Hakkında Bilmeniz Gereken Her Şey!

Webtures

Dijital Pazarlama

Genel Veri Koruma Tüzüğü (GDPR) Hakkında Bilmeniz Gereken Her Şey!

Genel Veri Koruma Tüzüğü (GDPR) Nedir? 2018’de yürürlüğe girmeden önce tüzük hakkında bilmeniz gereken her şey!

İşletmeniz yeni veri koruma tüzüğüne uyuyor mu?

Genel Veri Koruma Tüzüğü (GDPR) nedir?

AB’ye mensup her ülkenin veri koruma yasalarını aynı şekilde uygulamasını sağlayarak, tüm üye devletlerin veri düzenlemeye yaklaşımlarını bütünleştirecek Genel Veri Koruma Tüzüğü (GDPR) tanıtıldı. AB vatandaşlarını kişisel verilerini sorumsuzca kullanan kuruluşlardan koruyacak. Vatandaşlar hangi bilgilerin, nerede ve nasıl paylaşıldığı konusunda söz sahibi olacak.
Genel Veri Koruma Tüzüğü (GDPR), 25 Mayıs’ta yürürlüğe girecek. Önümüzdeki 12 ay içinde İngiltere Avrupa Birliğinden ayrılacak olsa da 1998 Veri Koruma Yasası’nın yerine geçecek ve AB vatandaşlarının verilerini işleyen tüm işletmeler için geçerli olacak.
Tüzüğe uymak hayati önem taşımakta. En ağır para cezaları, en kötü veri ihlallerine veya kötüye kullanıma verilecek olsa da kurallara uymayan herhangi bir işletme 20 milyon € ya da küresel yıllık cirosunun % 4’üne kadar para cezası alacak.

Genel Veri Koruma Tüzüğü (GDPR) neden oluşturuldu?

Genel Veri Koruma Tüzüğü (GDPR), işletmelerin veri kullanımını düzenlemek ve AB genelinde aynı şekilde uygulandığını garantilemek için oluşturuldu. Küçük işletmelerde olduğu gibi büyük şirketlerde de uygulanacak olmasına rağmen, Cambridge Analytica skandalı gibi son olaylar, Amazon, Google, Twitter ve Facebook gibi büyük şirketlerin kurallara tam olarak uymadıklarını gösterdi.
İngiltere, 1995 yılı Avrupa Birliği Veri Koruma Direktifini yorumlayarak 1998’te Veri Koruma Yasası’nı yürürlüğe soktu. Ancak internet ve bulut servisleri sayesinde ortaya çıkan günümüzdeki veri kullanımını, yani kişilerin Google, Twitter ve Facebook gibi ‘ücretsiz’ hizmetler aracılığıyla kişisel bilgi aktarmasını öngöremedi. Genel Veri Koruma Tüzüğü (GDPR) bu hatayı düzeltmeyi hedefliyor.
İkinci neden ise Avrupa Birliğinin, işletmeleri hareketlerini kontrol eden yasal ortam konusunda bilgilendirme isteği. Avrupa Birliği, üye ülkeler genelinde aynı veri koruma yasasını uygulamanın her yıl toplam 2,3 milyar avro tasarruf sağlayacağını düşünüyor. Bu tüzüğe uymak işletmeler için daha az zorlayıcı olacak. Çünkü Avrupa Birliğinin 1995’teki Veri Koruma Direktifinin düzinelerce farklı versiyonuna kıyasla sadece bir dizi kurala uymaları gerekiyor.
________________________________________
Şirketler, kişisel verileri korumak için yeterli IT güvenliğini sağlamakta başarısız oldukları takdirde, Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde ağır bir para cezasına çarptırılabilir.
________________________________________

Genel Veri Koruma Tüzüğü (GDPR) ne zaman yürürlüğe girecek?

Genel Veri Koruma Tüzüğü (GDPR), tüm AB üye ülkelerinde 25 Mayıs 2018 tarihinden itibaren geçerli olacak. Genel Veri Koruma Tüzüğü (GDPR) bir direktif değil, bir yönetmelik olduğundan, Birleşik Krallık’ın yeni bir tüzük çıkarması gerekmiyor. Bunun yerine, otomatik olarak uygulanacak. 24 Mayıs 2016 tarihinde yürürlüğe girecek olsa da AB’nin bütün bölümleri nihai metni kabul ettikten sonra, işletmeler ve kuruluşların tüzüğün tam anlamıyla geçerli olacağı 25 Mayıs 2018 tarihine kadar vakti var.
IT güvenlik uzmanlarının büyük çoğunluğu Genel Veri Koruma Tüzüğünün farkında olsa da Imperva’nın 170 siber güvenlik görevlisi üzerinde yaptığı bir ankete göre, katılımcıların yarısından azı tüzük için hazırlık yapıyor.
Imperva’nın eriştiği bilgiye göre, bu görevlilerin sadece %43’ü Genel Veri Koruma Tüzüğünün şirket üzerindeki etkisini değerlendiriyor ve veri koruma tüzüğüne uygun hale getirmek için yöntemlerini değiştiriyor. Ankete katılanlar çoğunlukla ABD vatandaşı olsa bile, AB vatandaşlarının kişisel verileriyle uğraşırlarsa ya da başka bir firmayla bu amaçla anlaşırlarsa yasadan etkilenecekler.
Buna rağmen, yaklaşık üçte biri yeni tüzüğe hazırlanmadıklarını, %28’i ise şirketlerinde yapılan herhangi bir hazırlıktan haberleri olmadığını söyledi.

Peki, Genel Veri Koruma Tüzüğü (GDPR) kimler için geçerli?

Verileri ‘denetleyenler’ ve ‘işleyenler’ Genel Veri Koruma Tüzüğüne uymak zorunda. Veriyi denetleyen kişi, kişisel verilerin nasıl ve niçin işlendiğini belirtirken, işleyen kişi verileri gerçekten işleme tabi tutan taraftır. Yani denetleyen taraf, kâr amacı güden bir şirketten bir yardım kuruluşuna veya hükümete kadar herhangi bir organizasyon olabilir. İşleyen taraf ise, gerçek veri işlemeyi yapan bir IT firması olabilir.
Denetleyenler ve işleyenler AB dışından olsa bile, AB vatandaşlarının verileri ile uğraşıldığı takdirde Genel Veri Koruma Tüzüğü (GDPR) geçerli olacak.
İşleyenin veri koruma yasalarına uymasını sağlamak denetleyenin sorumluluğunda. İşleyenler ise, işlem faaliyetlerinin kaydını tutmak için kurallara uymak zorunda. Eğer işleyenler veri ihlali yaparsa, Genel Veri Koruma Tüzüğü (GDPR) kapsamında 1998’de çıkarılan Veri Koruma Yasası kapsamında olduklarından daha fazla mesuliyet altında olacaklar.

Verileri Genel Veri Koruma Tüzüğü (GDPR) kapsamında ne zaman işleyebilirim?

Tüzük yürürlüğe girdiğinde, denetimciler kişisel verilerin yasal olarak, şeffaf bir şekilde ve belirli bir amaç için işlendiğinden emin olmalıdır. Bu amaç yerine getirildiğinde ve veri artık gerekli olmadığında silinmesi gerekiyor.
‘Yasal’ derken neyi kastediyorsun?
‘Yasal’ kelimesinin bir dizi alternatif anlamı var fakat hepsinin yerine getirilmesi gerekmiyor. Öncelikle, işlemin yasal olması için işlenen verinin sahibinin rızası alınmalı. Alternatif olarak ‘yasal’ kelimesi, kanuni bir sözleşme veya yasal zorunluluğa uymak anlamına gelebilir, yani kişinin “hayatı için esas” olan bir çıkarı gözetmek. Verilerin işlenmesi kamu yararına olabilir ya da bu yolu izlemek denetleyenin meşru menfaatine uyuyor olabilir, sahtekarlığı önlemek gibi.
Verilerin işlenmesi için bu gerekçelerden en az biri söz konusu olmalıdır.

Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde nasıl onay alabilirim?

Önceden işaretlenmiş kutuları veya onay formlarını içeren güncel modeller ile alınan pasif kabul yerine, veri sahibinin gerçek onayı söz konusu olmalı ve aktif bir şekilde alınmalıdır.
Denetleyenler, bir kişinin nasıl ve ne zaman onay verdiğine dair bir kayıt tutmalı ve kişi istediği zaman rızasını geri çekebilmelidir. Geçerli modeliniz bu yeni kurallara uymuyorsa, Genel Veri Koruma Tüzüğü (GDPR) 2018’de yürürlüğe girdiğinde modelinizi belli bir düzeye getirmeli ya da veri toplamayı bırakmalısınız.
Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde neler kişisel veri olarak sayılır?
AB, Genel Veri Koruma Tüzüğü (GDPR) kapsamında kişisel verilerin tanımını büyük ölçüde genişletti. Günümüzde şirketlerin topladıkları kişisel veri türlerini ifade edebilmek için, IP adresleri gibi çevrimiçi tanımlayıcılar da kişisel veri olarak nitelendiriliyor. Ekonomik, kültürel durum veya zihinsel sağlık bilgileri gibi diğer veriler de kişisel bilgiler olarak nitelendiriliyor.
Takma adla verilen kişisel veriler de kime ait olduğunu anlamanın kolaylığına veya zorluğuna bağlı olarak, Genel Veri Koruma Tüzüğü (GDPR) kurallarına tabi olabilir.
Veri Koruma Yasası kapsamında kişisel veri olarak sayılan her şey Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde de kişisel veri olarak nitelendiriliyor.

İnsanlar, sakladığımız verilere ne zaman erişebilir?

Genel Veri Koruma Yasası kişisel bilgilerin korunmasını sağlamak amacıyla, “makul aralıklarla” kişisel verilere erişim talep edilebileceğinin garantisini veriyor. Denetimcilerin bu talebi bir ay içinde yerine getirmesi gerekiyor. Hem denetleyenin hem de işleyenin, kişisel verilerin ne amaçla kullanıldığını, nasıl işlendiğini ve nasıl toplandığını açıkça belirtmesi gerekiyor. Tüzük ayrıca, firmaların bu bilgileri açıkça ve tutarlı bir şekilde belirtirken sade bir dil kullanması gerektiğini söylüyor. Kafa karıştırıcı, ağır terimlere ve şartlara veda etme zamanı geldi.
Kişiler, şirketlerin sakladığı kendilerine dair herhangi bir bilgiye erişme, verilerin neden işlendiğini, ne kadar süre saklandığını ve bilgiyi kimin görebildiğini bilme hakkına sahip. Mümkün olduğunda, veriyi denetleyen taraf, kişilere depoladıkları bilgileri gözden geçirmeleri için güvenli ve doğrudan erişim sağlamalıdır.
Ayrıca yanlış veya eksikse, istedikleri zaman verilerin düzeltilmesini isteyebilirler.

‘Unutulma hakkı’ nedir?

Genel Veri Koruma Yasası, kişilerin gerekli olmayan bilgileri istedikleri zaman silebileceklerini açıkça ortaya koyuyor. Örneğin, bir şirketin artık ihtiyaç duymayı kişisel bilgileri saklamaya devam etmesi durumunda. Veriler izin modeline uygun olarak toplanmışsa, vatandaş istediği zaman bu izni geri çekebilir. Bunu şirketin kişisel bilgilerini işleme şekline itiraz ettikleri için veya basitçe artık bilgilerinin toplanmasını istemedikleri için yapabilirler.
Denetleyici, diğer kuruluşlara örneğin Google’a, verilerin kopyalarına ulaşan bağlantıların yanında gerçek kopyaların da silinmesini söylemekle yükümlüdür.

Verileri başka bir yere taşımak isterlerse ne olur?

Öyleyse onlara hemen izin vermelisiniz: tüzükte kişinin böyle bir talebi söz konusu olduğunda talebi gerçekleştirmek için dört haftanız olduğu belirtiliyor. Denetleyiciler, kişisel verilerin CSV gibi açık ve yaygın kullanılan bir formatta olmasını sağlamalı, başka bir sağlayıcıya iletildiğinde okunabilir olmalıdır.

Ya veri ihlali yaşarsak?

Şirketiniz insan hakları ve özgürlüklerini tehdit eden herhangi bir veri ihlali fark ettiğinde, 72 saat içinde veri koruma otoritesini bilgilendirmek sizin sorumluluğunuzdadır. Birleşik Krallık’ta veri koruma otoritesi Bilgi Komisyonu Ofisi (ICO). Bilgi Komisyonu yetkilisi Elizabeth Denham, otoritenin Genel Veri Koruma Tüzüğü (GDPR) ile başa çıkabilmek ve ihlalleri bildiren kuruluşlara yanıt verebilmek için daha fazla kaynağa ihtiyacı olduğunu düşünüyor. Mart 2017’de AB İç İşleri Komitesine vasıflı kişilerin işe alınması ve tutulması için daha fazla finansman gerekli olduğunu bildirdi.
Zaman o kadar kısıtlı ki, fark ettikten sonra bile ihlalin her detayını bilmeniz mümkün olmayacaktır. Buna rağmen, veri koruma yetkilisiyle ilk bağlantınızda, etkilenen verilerin yapısını, kabaca kaç kişinin etkilendiğini, sonuçların onlar için ne anlama geldiğini ve hangi önlemleri uyguladığınızı ya da ne şekilde harekete geçtiğinizi bildirmeniz gerekiyor.
Ancak veri koruma yetkilisini aramadan önce, veri ihlalinden etkilenen kişilere haber vermelisiniz. 72 saatlik zaman sınırına uymayanlar, dünya çapındaki yıllık gelirlerinin %2’sine veya 10 milyon Euro’ya kadar (hangisi daha yüksekse) para cezasıyla karşı karşıya kalabilir.
Veri işlemek için yasal bir dayanağa sahip olmak gibi temel prensiplere uymuyorsanız, bireylerin verileri üzerindeki haklarını göz ardı ettiğinizde ya da başka bir ülkeye veri aktardığınızda daha da ağır cezalara tabi tutuluyorsunuz. Veri koruma yetkilisi yıllık cironuzun %4’üne veya 20 milyon Euro’ya varan (hangisi daha yüksekse) bir ceza verebilir.
ICO’nun uyguladığı maksimum 500,000 sterline çıkabilen ve Genel Veri Koruma Tüzüğüne göre ölçeklendirilen yeni para cezalarına tabi tutuluyorsanız, veri korumaya yönelik cezaların ne kadar sertleşebildiğinin farkına varacaksınız.
Genel Veri Koruma Tüzüğü (GDPR) kapsamında, TalkTalk’un 400.000 sterlinlik rekoru 59 milyon sterline ulaşıyor. Bu da Telco’nun 2016’daki 435 milyon sterlinlik üçüncü çeyrek gelirinin oldukça büyük bir parçasını oluşturuyor. Bunun yanında, ICO’nun 2016’da uyguladığı toplam 880.500 sterlinlik para cezası, risk azaltma firması NCC Group’a göre 25 Mayıs 2018’de 79 katına çıkarak 69 milyon sterline ulaşabilir.
Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde kesilecek azami cezalar artacak olsa bile tüzükte, cezaların yapılan ihlale “orantılı” olarak verilmesi gerektiği belirtiliyor. Ayrıca, şirketinizin Genel Veri Koruma Tüzüğüne uyumlu olduğundan emin olmak için çok çalıştığınızı gösterebilirseniz, ICO, bir ihlal durumunda normalde vereceğinden daha hafif bir ceza verecektir.

Peki ya Brexit?

Evet, İngiltere AB’den ayrılıyor ancak İngiltere hükümeti 50. Maddeyi Mart 2017’de harekete geçirdi. Bu madde de iki yıllık bir zaman dilimi içinde AB’den ayrılma eylemini harekete geçiriyor. Hatta daha uzun bile sürebilir. Genel Veri Koruma Tüzüğü (GDPR) Brexit oylarının hukuki sonuçlarından önce yürürlüğe gireceğinden Birleşik Krallık’ın tüzüğe uyması gerekiyor.
İngiltere hükümetinin Ağustos 2017’de ortaya koyduğu yeni Veri Koruma Tasarısı, Genel Veri Koruma Tüzüğünün gerekliliklerini İngiltere yasalarına uyarlıyor. Bu da Genel Veri Koruma Tüzüğüne uyanların aynı zamanda İngiltere’nin yeni veri koruma yasasına da uygun olması gerektiği anlamına geliyor.

Genel Veri Koruma Tüzüğünün hükümleri gibi, yasa tasarısına uymayan kuruluşlar için de yaptırımlar belirlendi. Bilgi Komisyonu Ofisi’nin (ICO) 17 milyon sterlin veya işletmenin küresel cirosunun %4’üne kadar para cezası verebilmesine izin verildi. Genel Veri Koruma yasası altında 20 milyon sterlin veya cironun %4’üne göre hangisi yüksekse ona göre ceza verilecek.
Ayrıca unutulma hakkı konusunda yeni hükümler de içeriyor. Veri sahiplerine çocukken paylaştıkları tüm gönderilerin silinmesini sosyal medya şirketlerinden talep edebilme imkânı sunuyor. Mahcup yetişkinlerin gençken söyledikleri şeyleri silmeleri için iyi bir fırsat.
Tasarı ayrıca kişisel verilere IP adreslerini, internet çerezlerini ve DNA’yı dahil ederek mevcut veri koruma modellerini modernize etmeyi öneriyor.
İngiltere, Genel Veri Koruma Tüzüğüne uyarak, AB’nin ‘üçüncü’ ülkeler üzerinde uyguladığı yeterlilik modelinin ötesine geçen gelişmiş bir veri koruma mekanizması kurmayı umuyor. Bu sayede kişisel verilerin İngiltere ve AB arasında serbestçe akması sağlanacak.
Dijital İşler Bakanı Matt Hancock şunları söyledi: “AB yasalarının iç hukukumuza aktarılması, AB’yi terk ettikten sonra da İngiltere’nin geleceğe hazırlanmasına yardım edeceğimizin garantisidir. Birleşik Krallık, AB ve dünyadaki diğer ülkeler arasında kesintisiz veri akışını devam ettirme konusunda kararlıyız. ”
Teknik endüstri organları, hükümet bakanlarını AB’nin veri koruma kurallarının dışına çıktıklarında uyarma görevini Şubat 2018’de açık mektup yayınlayarak üstlendi.
Bakanlar İngiltere’nin Genel Veri Koruma Tüzüğüne göre daha esnek bir yaklaşım sergileyerek ticari bir avantaj elde edebileceğini düşünüyor. Mektupta bu yöndeki görüşlere de yanıt veriliyor.
Uluslararası ticaret sekreteri Liam Fox’a gönderdiği bir mektupta, lobi grubuyla yüzlerce İngiltere teknoloji firmasını temsil eden TechUK CEO’su Julian David, şunları yazdı. “İngiliz teknoloji şirketleri sektördeki diğer şirketlerin bu görüşe katılmadığına emin. Çünkü sektördekiler, İngiltere’nin Genel Veri Koruma Yasası uyarlamasını dijital ekonominin gelecekteki başarısı için önemli bir dayanak noktası olarak görüyor.”
David ayrıca 25 Mayıs 2018 ‘den itibaren AB vatandaşlarının kişisel verilerini işleyen veya kullanan herhangi bir kuruluşa Genel Veri Koruma Tüzüğü (GDPR) uygulanacağı için, şirketlerin şimdiden tüzüğe hazırlanmakla meşgul olduğunu belirtti.
“İşletmeler Genel Veri Koruma Tüzüğü (GDPR) uygulamasına engel olunmasını hoş karşılamayacak.” diye ekledi. “Veri koruma kurallarının yakın zamanda bir daha toptan düzenlenmesini kimse istemiyor.”
David, Genel Veri Koruma Tüzüğünün bireyleri veri korumanın merkezine koyduğunu belirtti. Bunun yanı sıra, İngiltere’nin AB’den çıkması üzerine tüzüğe uymanın veri koruma yasalarının oluşturulmasında önemli bir adım olduğunu da savundu.
Hükümet halihazırda Genel Veri Koruma Tüzüğüne benzeyen İngiltere yasalarına uygun yeni bir Veri Koruma Tasarısı üzerinde çalışıyor. David böyle bir adımın İngiltere’nin ekonomik başarısı için çok önemli olduğunu söyledi.
Şunları da ekledi: “Teknoloji sektörü, Brexit’ten sonra AB’nin veri koruma sisteminden ayrılmanın ne yararlı ne de cazip olduğunu düşünüyor. Genel Veri Koruma Tüzüğü (GDPR), vatandaşların bilgilerini koruma konusunda yüksek bir standart sunduğu için dijital ekonomiye duyulan güveni arttırıyor.”

Soruşturma Yetkileri Yasası Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu mu?

Bununla birlikte, İngiltere’nin AB’den ayrılmasından sonra diğer yeni yasanın Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu görülüp görülmeyeceği belirsiz. Örneğin, İngiltere’deki Soruşturma Yetkileri Yasası kapsamında, İSS’ler kişisel web geçmişlerini toplamak ve 12 aya kadar saklamak zorunda. Eski DRIPA (Veri Saklama ve Soruşturma Yetkileri Yasası) yasasında bulunan benzer yetkilerin yasadışı olduğu tespit edildiğinden, hükümet şu anda bu yasaların bir kısmını yeniden yazıyor.
Hancock, Ekim 2017’de şunları yazdı: “İngiltere’nin ulusal güvenlik yasası, veri koruma müzakereleri önünde önemli bir engel oluşturmamalı.”

Veri koruma yetkilisine ihtiyacımız olacak mı?

Veri işleyen herhangi bir kamu kurumunun bir veri koruma yetkilisi tutması gerekiyor. Veri işleme sektöründe ana faaliyetleri bireyleri “büyük ölçekte” düzenli olarak izlemeyi içeren şirketler için de aynısı geçerli. Genel Veri Koruma Tüzüğüne göre kamu kurumları bir avantaja sahip, aynı veri koruma yetkilisini paylaşmaları mümkün. Şirketlerin ise veri koruma yetkililerinin iletişim bilgilerini veri koruma otoritesine iletmeleri gerekiyor.
Veri koruma yetkilisinin görevi, şirketi Genel Veri Koruma Tüzüğünün gereklilikleri ve tüzüğe uyumluluk konusunda bilgilendirmek ve yönlendirmek. Aynı zamanda, veri koruma otoritesinin birincil temas noktası olarak hareket edecekler ve otorite ile iş birliği yapmaları beklenecek. Buraya tıklayarak görevleri hakkında biraz daha fazla bilgi edinebilirsiniz.
Peki, Genel Veri Koruma Tüzüğünün gerekliliklerini yerine getirmek için işe nereden başlamalıyız?
Her şeyden önce, bu kapsamlı makaleyi okuyun; Genel Veri Koruma Tüzüğü (GDPR) için nasıl hazırlayacağınızı tam olarak açıklıyor.
En iyi tavsiye, hazırlanmaya mümkün olduğunca erken başlamanızı söylemek olacaktır. 25 Mayıs 2018 çok uzak gelebilir, ancak düzeltilmesi gereken çok şey var. İhtiyacınız varsa acilen bir veri koruma görevlisi tutmalısınız. Veri koruma kurallarınızın ve politikalarınızın, özellikle de onayınızın mevcut durumunu kontrol edin.
Sophos şirketinde veri koruma sorumlusu olan Anthony Merry, şirketlerin güncelleme yapmadan önce veri koruma politikalarının mevcut durumunu gözden geçirmesi gerektiğini söyledi.
Ayrıca, “İşletmeler, veri koruma politikalarını ve teknolojilerini, uyumlu olup olmadığını kontrol etmek için gözden geçirmelidir. Doğru olduğuna emin olmak amacıyla tavsiye almak için yerel düzenleyici kurumlarla ya da güvenilir bir danışmanla iletişime geçmekten utanmamalılar. ” dedi. “Etkin olun ve sakladığınız verileri koruyun. Verileri şifreleyin ve güvenlik çözümlerinizi her zaman güncel tutun. Her gün veri ihlalleri yaşanıyor. AB, yetersiz güvenlik sonucu karşılaşabileceğiniz cezaları yakın zamanda ağırlaştırdı.’’
Ancak asıl mesele, böyle bir sürecin ne kadar süreceği.
Bond Dickinson isimli hukuk bürosunda hukuk direktörlüğü yapan Justin Tivey, şirketlerin politikalarını şekillendirmek için hemen harekete geçmesinin çok önemli olduğunu söyledi.

“İki yıllık uygulama dönemi rahat gelebilir, ancak sadece Genel Veri Koruma Tüzüğü ile gündeme getirilen meselelerle hemen başa çıkanlar için rahat olacak.” dedi.
“Şirketler, hangi verileri aldıklarını, sakladıklarını ve işlediklerini öğrenerek, yasal dayanağı anlayarak işe başlamalıdırlar. Sistemler ve süreçler gizlilik esasına göre tasarlanmalıdır. Veri sahibinin hakkına saygı duyulması gerekiyor. Güvenlik ihlalleriyle başa çıkabilmek için tedbirler ve prosedürler mevcut olmalıdır. Ancak özünde veri koruma tek bir konuyla ilgili. Hangi veriyi ne amaçla sakladığınızı anlamalısınız.”
Sonuç olarak tüzüğe uymak için hangi prosedürleri benimsemeniz veya güncellemeniz gerektiğini öğrenin.
Bu prosedürleri olabildiğince çabuk tanıtın, böylece iş gücünüzü bu konuda eğitmeye başlayabilirsiniz.
Veri işlemcisi sayılan üçüncü parti sağlayıcılarla çalışıyorsanız, veri koruma prensiplerinin ne olduğunu ve tüzüğe uyup uymadıklarını kontrol edin. Uymuyorlarsa, yeniden teklif vermeniz gerekebilir.
Ayrıca, veri silme ve veri taşınabilirliği ile ilgili gereksiniminizi karşılayabilecek teknolojiyi araştırmak da iyi bir fikir olacaktır.

Yorumları Oku (1)

  1. Şirketlerde firewall ile güvenlik önlemi almanın bu konuda faydaları olur mu onu hesaplamaya çalışıyoruz şu anda :)
    Teşekkürler bilgi için.

    Cevapla

E-posta hesabınız yayımlanmayacak.