Avrupa’nın veri koruma yasası olan GDPR veri gizliliği ve veri güvenliği yasası olarak tanımlanır. GDPR yasası Avrupa pazarında bulunan veya ticaret gerçekleştiren tüm kurumları ilgilendirmektedir. Bu makalemizde sizlere GDPR yasası hakkında bilgi sahibi olmanızı ve şirketiniz için hangi alanların kapsandığını belirlemenize yardımcı olacağız.
GDPR dünya üzerindeki en sıkı ve katı gizlilik ve güvenlik yasasıdır. Yasa Avrupa birliği tarafından hazırlanmış, incelenmiş ve kabul edilmiş olsa’da dünya üzerinde AB ülkelerindeki insanlar ile iş yapan ve bu insanların verilerini tutan tüm kurumları etkilemektedir. 25 Mayıs 2018 tarihinde yürürlüğe giren GDPR yasası, yasaya uymayan ve ihlal gerçekleştiren kurumlara yüzbinlerce euro ceza yazmakta ve AB ülkelerinde ticaret yapmalarını engellemektedir.
Bu yasa sayesinde insanların kişisel veya özel verilerinin güvenlik altına alınması hedeflenmektedir ve sızdırılmaması için firmaları standartlara tabii tutulmaktadır. Yasa çok açık ve tüm prosedürleri yazı altına alınmış olduğundan dolayı yapılması gereken her şey açıkca ortadadır.
Ozztech Bilgi Güvenliği ve Yazılım Ltd.Şti olarak GDPR Nedir? Içeriğini sizlerin karşılaşabileceği zorlukları kolaylıkla çözmeniz ve anlamanız için makale haline getirdik. Bu makale sayesinde GDPR Nedir? , Nasıl GDPR ‘a uyumlu hale geleceğiz?, Neler Yapmalıyız ? gibi sorularınızı ortadan kaldıracak ve hatta talebiniz doğrultusunda sizlere danışmanlık vereceğiz.
GDPR TARİHİ
Kişisel verilerin gizli ve korunması 1950 yılında Avrupa İnsan Hakları Sözleşmesinin bir içeriğidir ve “Kişilerin özel, aile hayatı, mal varlığı ve yazışmalarına saygı duyulmalıdır.” konularını temel alarak bu hakların korunmasını sağlamaya çalışmışlardır.
Teknoloji ilerdikçe ve İnternetin hayatımıza girmesi ile AB yeni bir koruma sistemine ihtiyaç duyulacağını fark etti. Bu sebep ile 1995 yılında AB üye devletlerinin minimum veri gizliliği ve güvenliği standartını ortaya çıkardı. Fakat teknoloji bu dönemin ardıdan o kadar gelişmeye başladı ki bu standartta eksiklikler olduğunu farkettiler ve hızlıca Kişisel verilerin korunması için yasayı güncellemeye gitmek zorunda kaldılar.
GDPR Yasası Avrupa parlamentolarının onayına sunuldu ve 2016 yılında yürürlüğe girdi. Yürürlük sonrası kurumlara ise 25 mayıs 2018 yılına kadar süre tanındı.
GDPR YASASININ KAPSAMI, CEZALARI ve TEMEL TANIMLARI
Öncelikle Avrupa birliği vatandaşlarının kişisel verilerini alıyorsanız veya Avrupa birliği vatandaşlarına mal satışı, hizmet gibi işlemler yapıyorsanız; Avrupa birliğine dahil bir ülkede olmasanız bile GDPR yasasına tabii ve zorunlusunuz.
GDPR yasasını ihlal etmenin cezası çok yüksektir. Yasa içerisinde verilen bilgilere göre yasayı ihlal eden kurumun küresel gelirinin %4 ‘ü ya da en fazla 20 milyon euro olacak şekilde iki aşamalı bir cezai işlem uygulanmaktadır. Buna ek olarak verilerini kullandığını kullanıcıların size dava açmaya da hakları bulunmaktadır.
GDPR Yasası içerisinde uzunca tanımlar bulunmaktadır fakat Ozztech sizler için en önemli olanları aşağıda anlatmaktadır.
Kişisel Veri: GDPR tarafından tanımlanan kişisel veri: kimliği doğrudan veya dolaylı olarak belirlenebilen kişiye ait her türlü bilgi olarak tanımlanmıştır. Bunlara başlıca örnekler ise “ isim, e-posta adresi, telefon numarası, ev adresi, konum bilgileri, dini, cinsiyeti, biyometrik verileri, web çerezleri veya siyasi parti görüşleri” kişisel veri olarak tanımlanmıştır.
Veri İşleme: Otomatik veya manuel olarak verilerin üzerinde herhangi bir işlem gerçekleştiren tüm içerikler veri işlemeye girmektedir. Örneğin verileri kaydetme, düzenleme yapma, değişiklik yapma, saklama, veriyi kullanma veya silme gibi işlemlerin tamamıdır.
Veri Denetleyicisi: Kişisel verilerin nasıl, neden ve ne süre ile işleneceğine karar verecek olan kişiye verilen tanımdır. Şirket içerisinde kullanıcı verilerini işleyen birisi iseniz bu tanım size yazılmış bir tanımdır.
Veri İşleyicisi: Veri denetleyicisinden veri alan şirket dışı fakat şirket verilerine erişmeye izni olan üçüncü parti kişi ve firmadır. GDPR ‘ın bu tarz durumlar için özel kuralları vardır. Bunun için çok dikkatli olmalısınız.
PEKİ GDPR VERİLERİN NASIL KORUNMASINI İSTEMEKTEDİR ?
- Hukuka uygunluk, adalet ve şeffaflık: Veri işleme, veri sahibi için yasal ve şeffaf olmalıdır.
- Amacı aşmaması: Kullanıcı verilerini alırken kullanıcılara bu veriyi neden ve nasıl kullanacağınızı açıkça belirtmesi ve rızası alınmalıdır.
- Veri minimizasyonu: Kişisel veriler alınırken gerçekten kurumun ihtiyacı kadar veri alınmalıdır ve işlenmelidir. Kurumun ihtiyacı olmayan veriler toplanmamalıdır.
- Doğruluk: Kişisel verilerin doğru ve güncel olması gerekmektedir.
- Depolama süresi: Kişisel olarak tanımlanmış verilerin yanlızca belirtilen amaç için gerekli olduğu sürece depolayabilir ve saklayabilirsiniz. Bu sebep ve firma sektörüne göre saklama süresinde değişiklik gösterebilir.
- Bütünlük ve gizlilik: Veri işleme kesinlikle güvenli bir sistemde olmak zorundadır. Örneğin şifreleme sistemleri kullanarak verileri saklayacak ve izleyeceksiniz.
- Hesap verilebilirlik: Veri denetleyicileri, GDPR ‘ın talep ettiği tüm ilkelere uygunluğunu göstermekten sorumludur ve hesap vermesi istendiğinde tüm bilgileri yasa gereği aktarmak ile yükümlüdür.
HESAP VERİLEBİLİRLİK
GDPR yasası veri denetleyicilerin bu yasaya uygun ve süreci doğru şekilde yönettiklerinin kanıtlamalarını zorunlu kılmaktadır. Eğer GDPR’a uyumlu olduğunuzu gösteremiyor ve çekiniyorsanız hızlıca Ozztech Bilgi Güvenliği ve Yazılım Ltd.Şti. ile iletişime geçebilirsiniz.
GDPR ‘a başlamak için aşağıdaki işlemler ile ön adım atabilirsiniz.
- Ekibinize ve personellerinize veri korumanın önemi hakkında eğitim ve sorumluluklar verin.
- Toplanan verilerin nasıl kullanıldığına, nerede saklandığına, hangi personelin bu verilere erişebildiğine ve ne sürece tutulduğuna ilişkin yazılı prosedürler hazırlayın.
- Verilerin çalınmaması için Ozztech Bilgi Güvenliği ve Yazılım Ltd.Şti. ile Siber Güvenlik danışmanlığı anlaşması yapın.
- Şirket kaynaklarına dışarıdan erişen iş ortaklarınız ile Gizlilik sözleşmesi imzalayın.
- Şirket içerisinde bir veri koruma görevlisi seçin ve bu görevli arkadaş denetçi gibi sürekli personelleri takip ve kontrol etsin.
Veri Güvenliği
Kullanıcı verilerini işlerken kesinlikle güvenli bir sisteme sahip olmalısınız. Teknik önlemleri almanız hem şirket ünvanınız için hemde GDPR için çok önemlidir. Aslında bu yasa sayesinde doğru ve güvenli bir sisteme sahip olacaksınız.
Unutmayın datalarınız sirketinizin gücüdür ve gücünüzü Ozztech ile koruyabilirsiniz. Bir veri ihlali yaşarsanız 72 saat süreniz vardır. 72 saat içerisinde kullanıcılarınıza bu durumu bildirmek zorundasınız.
Veri Sahiplerinin Hakları
Bir veri işleyicisi veya denetleyicisi veri sahibinin haklarını gözetmek zorundadır. Veri sahipleri veriyi sizlere izin ile vermiş olsa dahi bu verilerin tüm hakkı kendilerine aittir. Bu sebep ile aşağıdaki durumlarda verilerin yok edilmesi veya değişikliği talep edilebilir.
- Bilgilendirilme hakkı
- Erişim hakkı
- Düzeltme hakkı
- Silme hakkı
- İşlemeyi kısıtlama hakkı
- Veri taşınabilirliği hakkı
- İtiraz hakkı
PEKİ GDPR İÇİN SON OLARAK NELER YAPABİLİRSİNİZ?
GDPR yasası toplamda 88 sayfadan oluşmaktadır. Bu makaleden esinlenerek tüm GDPR konularına hakim olamayacaksınızdır. Bu sebep ile danışmanlık almak zorundasınız. Ozztech Bilgi Güvenliği ve Yazılım Ltd.Şti olarak sizlere hem GDPR hem de Siber Güvenlik hakkında danışmanlık hizmetleri sağlayabiliriz.