GDPR, Genel Veri Koruma Yönetmeliğine Uymayan Yandı
AB’nin Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs 2018’de yürürlüğe giriyor. AB ile iş yapan şirketler, Avrupa’ya e-ihracat yapan e-ticaret siteleri GDPR ihlalleri nedeniyle 20 milyon euro’ya kadar cezalarla karşılaşabilir…
2013 yıkıda Amerikan Ulusal Güvenlik Dairesi (NSA) eski çalışanı, bilgisayar uzmanı Ed-ward Snowden’ın “Amerikan istihbarat servislerinin milyonlarca insanın iletişimini izliyor olduğuna” ilişkin iddiası gündemde bomba etkisi yaratmıştı. Avrupa’da büyük endişe uyandıran bu iddialarm ardından AB Komisyonu, AB Bakanlar Konseyi ve Avrupa Parlamentosu, AB içinde veri koruma konusuna yeni hukuki temel oluşturmak üzere üç yıl boyunca çalıştı. Sonuç olarak Genel Veri Koruma Yönetmeliği (GDPR- General Data Protection Regulation) kabul edildi. Yönetmelik 25 Mayıs 2018’de yürürlüğe giriyor.
GDPR kişisel bilgileri toplayan ve işleyen tüm şirketleri kapsıyor. Ama sadece AB’dekileri değil. AB ile iş yapan tüm firmalar ve e-ihracat yapan sitelere ciddi yükümlülükler geliyor. GDPR ihlalinin bedeli 20 milyon euro’ya varan cezalara denk geliyor. Bundan sonra AB vatandaşının onayı olmadıkça hiçbir şirket ya da resmi kurum kendisiyle ilgili veri toplayamayacak. Şirketler, internet siteleri ve diğer hizmetlerin veri toplaması sadece açık ve net onay süreci ile mümkün olacak. Verilerin kullanımına onay almak için internet sitelerinde önceden içine çarpı işareti konmuş kutucuklar artık hukuken geçersiz sayılacak. Şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan verileri alabilecek. Unutulma hakkı olarak ifade edilen, kişisel verilerin internetten silinmesi, yasal düzenlemeyle ilk kez sabitlenmiş olacak.
Verileri işleyenler talep edilmesi durumunda kişiye veya kuruma dair hangi verileri depoladıklarmı, bu verilerle ne yaptıkların: kimlere ilettiklerini açıklamak zorunda kalacak. Şirketin hack’lenmesi durumunda kimlerin hassas verilerinin ele geçirildiği konusunda şirket müşterilere açıklama yapmak zorunda olacak ve cezai yaptırımlarla karşılaşacak. İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesaplan, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan ya da dolaylı yollarla tanımlamaya yardımcı olacak veriler, GDPR kapsamma giriyor.
SİBER GÜVENLİK PLANLARI
Trend Micro 2018 öngörü raporuna göre, şirketler Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) ile beraber güvenlik altyapılarını bu yıl yeniden şekillendirecek. Yönetmeliğin getirdiği yükümlülükler ajandaların ilk sırasında yer alacak. GDPR’nin gerek iş dünyasında, gerekse sosyal yaşantıdaki alışılmış düzeni büyük ölçüde etkileyeceğini belirten Trend Micro Akdeniz Ülkeleri, İsrail, Rusya ve CIS Ülkeleri Genel Müdürü Ya-kup Börekcioğlu şunları aktarıyor: “Yönetmeliğin yürürlüğe girmesiyle beraber bireylere verilerini korumaları konusunda önemli ayrıcalıklar verilirken, bu veriler Avrupa Birliği nezdinde de yüksek bir koruma kalkanı altına alınıyor. Yönetmeliğin gerekliliklerini yerine getirmeyen kurumlara ve şirketlere önemli cezai yaptıranlar uygulanacak. Diğer yandan siber güvenlik konusunda en az 2017 kadar hareketli bir sene olacağını öngörüyoruz. Fidye yazılımların yanı sıra, sistemler yoğun bir manipülasyon riskiyle de karşı karşıya kalacak. Kurumsal saldırı alanları genişleyecek. Bu yüzden şirketler siber güvenlik planlarını GDPR gölgesinden hazırlamalı ve güvenlik açığı yönetimine ağırlık vermeliler.”
“KRİZLERE HAZIR OLUN”
Veri güvenliği alanında faaliyet gösteren Commvault firmasının araştırmasına göre, yönetmeliğin yürürlüğe girmesine beş ay kalmış olmasına rağmen, şirketlerin yüzde 89’u hangi kişisel verilerin koruma altına alınmış olduğunu hala tam olarak bilmiyor. Kurumsal yedekleme, veri kurtarma ve arşivleme alanında küresel liderlerden biri olan Commvault’un 177 küresel şirketin BT yöneticisi ile gerçekleştirdiği araştırma sonuçları, şirketlerin yalnızca yüzde 18’inin gerekli durumda veri depolarından veri silme kapasitesi olduğunu gösteriyor.
Araştırmada ortaya çıkan diğer çarpıcı bir sonuç ise, GDPR gereklilikleri açısından önem taşıyan “unutulma hakkı” ile ilgili. Şirketlerin sadece yüzde 16’sı belirli bireylere ait verileri anında bulabileceklerini söylerken, yüzde 36’sı bu verileri toplamanın saatler alacağını, yüzde 25’i günler, yüzde 18’i ise haftalar alacağmı belirtiyor. Şirketlerin yüzde 5’i ise bu verileri bulmanın hiçbir yolu olmadığını beyan ediyor. Bu çerçevede, yönetmelikteki unutulma hakkı maddesi küresel şirketler başta olmak üzere pek çok şirketin başına çorap örecek gibi görünüyor.
Kamuoyu tarafından tanınmış şirketlerin 25 Mayıs 2018’den sonra GDPR’yi ihlal ettikleri gerekçesiyle davalar ve haberlerle sıkça gündeme geleceğini söyleyen Commvault EMEA Çözüm Pazarlama Direktörü Nigel Tozer, “Şirketler cezalardan ya da kişisel verileri işleme yasağından kaçınmak ve marka kimliğine zarar verme olasılığından uzak durmak istiyorlarsa hızlıca harekete geçmek zorundalar. Ne yazık ki iş dünyası ile BT liderleri arasmda GDPR konusunda hala büyük bir iletişim kopukluğu var. Zaman hızla daralıyor. Şimdiden harekete geçmeyenler 25 Mayıs sonrasındaki kriz sürecini yöneteme-yebilir” diyor.
AB İLE İŞ YAPANLAR SORUMLU
GDPR uyumluluğu konusunda önemli çalışmalar yürüten 24 Solutions, GDPR ile birlikte kişisel veri tanımının da revize edilerek yeniden yapıldığına dikkat çekiyor. GDPR ile Avrupa’daki bireylerin kişisel verileni işleyecek bilgi işlemciler ve denetleyicilerin yeni yükümlülükler altına girmiş olduklarına işaret eden 24 Solutions Türkiye Ülke Direktörü Emrah Elmas şunları aktarıyor:
“Yeni düzenleme şirketin fiziksel konumundan bağımsız olarak, AB’de yaşayan bireylerin kişisel bilgilerini toplayan ve işleyen tüm organizasyonları kapsıyor. Avrupa’ya ister e-ticaret ister ilgili ülkelerdeki fiziksel mağazaları/ofisleri üzerinden ürün veya hizmet satışı yapan tüm firmaların, kişisel veri ile ilgili işlem yapmadan önce bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekiyor. Yönetmelikle birlikte şirketler, herhangi bir AB ülkesinde faaliyet sürdürsün ya da sürdürmesin, AB vatandaşlarına hizmet sunuyorlarsa GDPR yükümlülüklerini yerine getirmek zorundalar. AB ile iş yapan Türk şirketleri GDPR ihlalleri sebebiyle milyonlarca euro’luk cezalarla karşılaşabilir. Veri işleme konusunda yeterli müşteri iznine sahip olmama veya temel gizliliğin ihmali gibi durumlarda azami yaptırımlar yürürlüğe giriyor. Bu kuralların hem denetleyiciler hem de bilgi işlemciler için geçerli olduğunu ve bulut hizmetlerinin uygulamadan muaf tutulmadığını unutmamak gerek.”
Türkiye’den AB ülkelerine e-ticaret yoluyla veya ilgili ülkelerdeki ofisleri üzerinden ürün veya hizmet satan şirketlerin GDPR ile uyumlu olabilmeleri için öncelikle planlı olmaları gerektiğine işaret eden Elmas’a göre, organizasyon içerisinde bilinci arttırmak, organizasyonun veriyi ele alış biçimini yeniden tanımlamak ve analiz yöntemlerini standartlara uydurmak büyük önem taşıyor. Geçmişte yaşanan veri ihlallerini yeniden değerlendirmek ve eksikleri saptamak, organizasyonun yapısını yeniden şekillendirmek ve eğitim, planlamanm içerisinde dikkat edilmesi gereken diğer noktaları oluşturuyor. Tüm bu süreçlerin GDPR konusunda tecrübeli ve ilgili yasalara hakim danışman-larca yönetilmesi de kritik önem taşıyor.
20 MİLYON EURO’LUK CEZALAR
ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu’ya göreyse, bu yönetmelik Avrupa ülkeleri ile iş yapan Türk şirketlerini de yalandan ilgilendiriyor. Yeni kanun, şirketlerin veri koruma, rıza şartlan, müşteri veya çalışanların gizliliği gibi GDPR kurallarını ihlal etmeleri durumunda cezanın üst sınırım 20 milyon euro’ya veya firmanın yıllık cirosunun yüzde 4’üne kadar çıkarıyor. “Bu değişiklikler, AB vatandaşlarının kişisel verilerini işleyen AB içindeki veya dışındaki her işletmeyi etkileyecek. Yani Avrupa ülkeleri ile ticari ilişki içinde olan tüm Türk şirketleri, işlerini sürdürebilmek için bu yönetmeliğin gerekliliklerini dikkate almak zorunda kalacak” diyen Akkoyun-lu, şunları aktarıyor: “Avrupalı şirketlerin yüzde 35’i son iki yıl içerisinde bir veri sızıntısına maruz kaldı ve 25 bin ile 250 bin euro arasında değişen miktarlarda zarara uğradı. Yeni veri koruma yasasının gerekliliklerine uymamak, yüksek cezalar nedeniyle şirketlerin daha büyük maliyetlere uğramasını da beraberinde getirebilir.” GDPR ihlallerine karşı en önemli önlemin şifreleme olduğunun altını çizen Akkoyunlu, “Şifreleme teknolojisinin başlıca faydaları, karmaşık algoritmalar sayesinde şifrelemenin çok güçlü olması, dolaşım halindeki verilerin ele geçirilmesi durumunda kullanılamayacak olması, geniş erişilebilirlik ve yönetim imkanı ile birlikte nispeten düşük uygulama maliyeti olarak karşımıza çıkıyor” diyor.
“ESKİLERİN UYUMLANMASI ZOR”
GDPR özellikle, günümüzde birçok şirketin topladığı çok büyük miktarlardaki kişisel veriyi hedefliyor ve yeni düzenlemeler doğrultusunda sorumluluk atfedebilmek için bu verilerin fiziksel konumunun belirlenebilmesi gerekiyor. Compuware’in yakın zamanda yaptığı bir araştırmaya göre, Avrupalı ve ABD’li şirketlerin bilgi işlem merkezi yöneticilerinin yüzde 30’u, söz konusu verileri sistemleri içerisinde bulabileceklerini garanti edemiyor. Yüzde 53’ü, kişisel veriler içerebi-len ve test amaçlı kullandıkları verilerin konumunun saptanmasının özellikle zor olduğunu ifade ediyor. Eski sistemlerin, verilerinin konumunu saptamak isteyen ClO’lar için zorluklar teşkil ettiğini ifade eden TmaxSoft Türkiye Genel Müdürü İlker Saltoğlu şunları aktarıyor:
“GDPR yürürlüğe girdiğinde, eski sistemler de en modem sistemlerle aynı detaylı incelemelere tabi tutulacak, fakat bilindiği üzere, gelişmiş sitemlere kıyasla mainframe gibi eski sistemler şeffaflık konusunda iyi değildir. Dahası, eski sistemler GDPR ile uyumluluk için gerekli değişiklikleri yapmayı da zorlaştırır Kaynak kodlarına erişim de kolay değildir ve~ erişilse bile, sistemler çok eski olduğu için bu kodlardan anlayan BT profesyoneli sayısı da giderek azalmaktadır. Eski sistemlerin elden geçirilerek kişisel verilerle çalışması ve GDPR uyumlu hale gelmesi bekleniyorsa, böyle durumlarda bu oldukça zordur.”
GDPR neler getiriyor?
■ İzin: İzin koşullan güçlendirildi ve şirketler artık yasal terimlerle dolu, uzun, okunması güç kurallar ve koşullar kullanamayacaklar. İznin açık ve düz bir dil kullanılarak bilgilendirici ve kolay erişilebilir bir formda sağlanması gerekiyor. İznin verilmesi kadar iznin geri alınmasının da kolay olması gerekiyor.
■ Unutulma Hakla: Veri silme olarak da bilinen unutulma hakkı, verinin sahibine, veri denetleyicisinin kişisel verilerini silmesini, verilerin daha fazla yayılmasını ve varsa üçüncü şahısların verileri işlemesini durdurmasını isteme hakkı veriyor.
■ İhlal Bildirime: Veri ihlali bildirimlerinin mümkünse ihlalin öğrenilmesinden sonraki 72 saat içinde yapılması gerekiyor.
Prof. Dr. İlhan HELVACI / İstanbul Üniversitesi Hukuk Fakültesi Öğretim Üyesi
”Yüksek para cezalan geliyor”
GDPR ile kişisel verilerin korunmasına ilişkin uygulama alanı genişletilmiştir.
Kişisel verilerin korunmasına ilişkin kurallar AB sınırları içinde bulunmayan bir şirket tarafından ihlal edilse bile bu şirket tüzük hükümlerine göre cezalandırılabilir. Para cezaları da arttırılmış bulunuyor. Örneğin, 20 milyon euro’ya veya kuralları ihlal eden şirketin yıllık küresel cirosunun yüzde 4’üne kadar (hangisi fazla ise) idari para cezasına hükmedilmesi mümkün hale geldi. Kişilerin, artık kişisel verilerinin kullanılmasına ilişkin rızaları alınırken onların bu konuda en üst seviyede aydınlatılmış olması gerekecek. Kişiler verdikleri rızaları geri alabilecek. Kişisel verilerin korunması ihlal edildiğinde, eğer bu ihlalin, kişilerin hak ve özgürlükleri için bir tehlike yaratma ihtimali varsa bu ihlalin, öğrenildiği andan itibaren 72 saat içinde ilgili kişiye bildirilmesi gerekiyor. Veri işleyen şirketler de müşterilerini, veri kontrolü ile yükümlü olan şirketleri hiçbir gecikme olmaksızın uyarmakla yükümlü olacak. Yeni düzenlemede “unutulma” veya “silinme” hakkı pozitif bir düzenlemeye dayalı hale getiriliyor.
Levent Efe AKMAN / IBM Türk Analitik Birim Lideri
”Şirketler veri koruma tüzüğü ekibi kursun”
Araştırmalar bir şirketin gelecek iki yıl içerisinde 10 bin adet kayıp ya da çalıntı kaydı kapsayan maddi bir ya da daha fazla veri ihlalinin olasılığını yüzde 26 olarak gösteriyor. Bir veri ihlalinin ortalama maliyeti 4 milyar dolardan fazla, kayıp ya da çalınan bir adet kaydın ortalama maliyeti 158 dolar. Örneğin bir hastane, hasta sağlık kayıtlarının açığa çıkmasına neden olan bir veri ihlali nedeniyle toplam 4.8 milyon dolar tutarında cezaya çarptırılabiliyor. Günümüzde verilerin korunmaya başlanması için sistematik bir yaklaşım gerekiyor. Şirketlerin yükümlülükleri iyice anlamaları, bir Genel Veri Koruma Tüzüğü ekibi kurulması, hangi verilerin saklandığını ve bunların nerede olduğunun bilinmesi, bir veri koruma yöneticisinin atanması, tüm gizlilik bildirimlerinin, müşteri rızası ve tercihi mekanizmalarının, veri sahiplerinin erişim, düzeltme, silme taleplerine ilişkin süreçlerin, veri saklama zaman çizelgelerinin ve tüm sınır aşırı kişisel veri aktarımlarının incelenmesi önerilerimiz arasında yer alıyor.
Türkiye ne durumda?
■ 95/46/EC sayılı AB Direktifini esas alan 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girdi.
■ Kanun, kişisel verilerin işlenmesine, silinmesine ve aktarılmasına ilişkin maddeler ile gizli verilerin güvenliğine ilişkin maddeler içeriyor.
■ Şirketlerde, “Veri Sorumlusu” olarak tanımlanan ve çok geniş kapsamlı sorumlulukları ve yasal gereksinimleri buluna bulunan yeni bir kurumsal görev tanımı ortaya çıkıyor.
Kanuna uyulmaması durumunda uygulanacak cezalar önemli ölçüde artırılıyor ve 1 milyon TL’ye kadar para ve dört yıla kadar hapis cezası uygulanmaya başlıyor.
■ Kişisel Verilerin Korunması Kanunu’nun, şirketlerin kişisel verilerini yönetme ve denetleme biçimlerini önemli ölçüde değiştirmesi bekleniyor.
Ürün Dirier
