Genel Veri Koruma Yönetmeliği (GDPR) Gereklilikleri ve Türkiye’deki Gerçekler

Genel Veri Koruma Yönetmeliği (GDPR), işletmelerin AB üyesi ülkelerde gerçekleştirdikleri işlemler için AB vatandaşlarının kişisel verilerini ve gizliliklerini korumalarını gerektiren bir düzenleme. GDPR uyumsuzluğu şirketlere çok pahalıya mal olabilir. GDPR hakkında bilinmesi gerekenleri bu yazımızda topladık.

Avrupa Birliği (AB) ülkelerindeki vatandaşlarla ilgili veri toplayan şirketlerin, 25 Mayıs tarihine kadar müşteri verilerini koruma konusunda sıkı kurallara uymaları gerekecek, GDPR kısa adı ile adlandırılan Genel Veri Koruma Yönetmeliği ‘nin, müşteri verilerine ilişkin olarak tüketici hakları için yeni bir standart belirlenmesi bekleniyor.  Ancak bu yönetmeliğe uymak için şirketlerin hali hazırda kullandıkları sistem ve süreçleri tekrar gözden geçirerek yeri şartlara uyum sağlaması şart.

Uyum süreci şirketlerin güvenlik ekiplerinin bazı endişelerine ve yeni beklentilerine neden olacak gibi gözüküyor. Örneğin, GDPR kişisel tanımlama bilgisini neyin oluşturduğuna geniş bir bakış açısı ile bakmakta. Şirketler, bir kişinin IP adresi veya çerez verileri gibi şeyler için ad, adres veya kimlik numarasında olduğu gibi aynı seviyede koruma sağlamalı. Bu durum kullanılan sistemlerin tekrar gözden geçirilmesi gerekliliği sunuyor.

GDPR Yoruma Açık Bir Yönetmelik

GDPR yönetmeliği şirketlere yoruma açık maddeler sunuyor. Örneğin şirketlerin kişisel veriler için “makul” bir koruma düzeyi sağlamaları gerektiğini söylüyor, ancak neyin “makul” olduğunun tanımı yönetmelik içerisinde yapılmış değil. Bu durum, veri ihlallerine ilişkin cezaları değerlendirirken GDPR’ın yönetim organına çok fazla alan bırakıyor. Veri Koruma Yönetmeliği 

GDPR nedir?

Avrupa Parlamentosu, Nisan 2016’da GDPR yönetmeliğini kabul etti. Bu yeni yönetmelik 1995 yılından bu yana süre gelen veri koruma yönetmeliği direktifinin yerini alıyor. AB üyesi ülkelerde gerçekleşen işlemler için işletmelerin kişisel verilerini ve AB vatandaşlarının mahremiyetini korumasını gerektiren hükümler bu yönetmelik ile düzenlenecek. Ayrıca kişisel verilerin AB dışına ihraç edilmesini de yine bu yönetmelik ile düzenlemekte.

Hükümler, 28 AB üyesi ülkenin tamamında uygulanacak. Ayrıca AB üyesi ülkeler ile çalışan firmalarda çalıştıkları bölümler için bu yönetmeliğe uymak zorundalar. Bununla birlikte, veri koruma yönetmeliği standartları oldukça yüksek ve birçok şirket bu yönetmeliğin süreçlerini karşılamak için büyük bir yatırım yapmaları gerekiyor.

Yayınlanan raporlara göre ABD şirketlerinin yaklaşık üçte ikisi GDPR ile birlikte alınması gereken yeni tedbirler için Avrupa’daki stratejilerini yeniden gözden geçirmeleri gerekiyor. Bu durum Avrupa dışından Avrupa içerisine çalışan firmalar için büyük bir dezavantajlar yaratıyor.

GDPR Hangi Şirketleri Etkiliyor?

AB ülkeleri içinde AB vatandaşlarının kişisel bilgileri depolayan veya işleyen herhangi bir şirket, AB içinde bir ticari varlığı olmasa bile GDPR’a uymak zorunda. Uyulması gereken şirketler için özel kriterler şunlardır: AB üyesi ülkelerde varlık gösteren şirketler, AB ülkesinde bulunmayıp AB üyesi vatandaşların kişisel verilerini işleyen şirketler, 250’den fazla çalışanı olan şirketler. Bunun yanında 250’den az çalışanın olduğu şirketler için yeterli tanımlama yapılmış değil. Veri konularının hak ve özgürlüklerini etkilediği, aynı zamanda hassas kişisel verilerin işlendiği durumlarda şirketin büyüklüğünün hesaplanmasına gerek duyulmuyor ve GDPR yönetmeliğine uyum isteniyor. Ayrıca GDPR uyum sürecinin son günü 28 Mayıs 2018 ve bu tarihten önce şirketler bu yönetmeliğe uyum sağlamak zorunda.

Yönetmelik çerçevesinde şirket içinde verilerle ilgili yeni rollere de yer verilmesi gerekiyor. Buna göre şirketler; veri denetleyicisi, veri işlemcisi ve veri koruma sorumlusu (DPO) başlıkları altındaki yeni rollere karşılık vermeliler. Veri denetleyicisi kişisel verilerin nasıl işlendiğini ve hangi amaçla işlendiğini tanımlıyor. Kontrolör ise dış yüklenicilerin uymasını sağlamaktan da sorumlu pozisyonda yer alıyor.

Veri işlemcileri, kişisel veri kayıtlarını tutan ve işleyen dahili gruplar veya bu faaliyetlerin tümünü veya bir bölümünü gerçekleştiren herhangi bir dış kaynak firması olabilir. GDPR, işlemcileri ihlaller veya uyumsuzluklardan sorumlu tutuyor. Buna göre, şirketiniz ve bulut sağlayıcısı gibi işlem ortağınız, arıza tamamen işlem ortağında olsanız bile cezalardan sorumlu tutuluyor.

GDPR Hazırlığı Ne Kadara Mal Olacak?

PwC tarafından yapılan ankete göre: ABD merkezli Avrupa’da iş yapan şirketlerin yüzde 68’i GDPR gereksinimlerini karşılamak için 1 milyon dolardan 10 milyon dolara kadar yatırım yapmayı planlıyor. Bunun dışında kalan şirketlerin yüzde 9’u ise 10 milyon dolardan fazla yatırım yapmayı ön görüyor.

Şirketim GDPR’a Uygun Değilse Ne Olacak?

Ovum tarafından yapılan bir ankete göre: Şirketlerin yüzde 52’si uyumsuzluk nedeniyle para cezasına çarpacaklarını düşünüyor. Yine yönetim danışmanlığı şirketi Oliver Wyman, AB’nin ilk yılda 6 milyar dolara kadar para cezası tahakkuk edeceğini öngörüyor. Şirketiniz Avrupa firmalarıyla iş yapıyor ve 25 Mayıs tarihine kadar GDPR uyumluluğu sunmayacaksa bu konuda yalnız değilsiniz. Yine yapılan anketlere göre Avrupa üzerinde faaliyet gösteren yapancı firmaların yüzde 50’si GDPR uyumu konusunda sorun yaşayacak gibi gözüküyor. Aralık ayında yayınlanan Solix Technologies tarafından yapılan ankete göre, şirketlerin yüzde 22’si hâlâ GDPR’a uymak zorunda olduklarının farkında değil.

Bu, bir sürü organizasyonu para cezalarına karşı savunmasız kalacak gibi gözüküyor. Bu konudaki yaptırımların affedilmeyeceği veya indirim uygulanmayacağı yine gelen bilgiler arasında yer alıyor. Eğer uyumluluk konusunda hazır değilseniz önümüzde çok az da olsa zaman var. Şimdiden çalışmalara başlamanızı tavsiye ediyoruz.

GDPR Ne Tür Gizlilik Verilerini Koruyor?

Ad, adres ve kimlik numaraları gibi temel kimlik bilgileri, Konum, IP adresi, çerez verileri ve RFID etiketleri gibi Web verileri, Sağlık ve genetik veriler, Biyometrik veriler, Irk veya etnik bilgiler, Siyasi görüşler, Cinsel yönelim.

Türkiye’de Durum Nedir?

GDPR öncesi 1998 yılında yürürlüğe giren 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif”, kişisel verilerin korunması alanında Avrupa coğrafyası ile sınırlı kalmayan ve tüm dünyada kabul gören bir çerçeve sunmuş, doğrudan hukuki bağlayıcılığı olmaması nedeni ile birlik üyesi her ülke tarafından kendi yerel mevzuatlarını yaratmalarında referans olarak kullanılmıştı. Çeşitliliği ve kapasitesi artan veri trafiği, toplanan verilerin işlenmesindeki yeni yaklaşımlar ile teknolojideki gelişmeler sonucu benimsenen ilkelerin günümüze uyarlanmasına yönelik kapsamlı bir reforma gidilmesi ihtiyacı sonucunda GDPR ortaya çıkmış oldu.

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı “Kişisel Verilerin Korunması Kanunu”, GDPR metninin Avrupa Parlamentosu’nda kabulünden kısa bir süre önce yürürlüğe girmiş, yani 95/46/AT sayılı direktif referans alınarak hazırlanmıştır. Bu nedenle KVKK, GDPR açısından kısmi bir uyumluluğa sahip olup; 30 Aralık 2017 de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik’te henüz yansıması olmasa da önümüzdeki dönem kanun ve yönetmeliklerde bazı değişikliklerle karşılaşmamız kaçınılmaz gözükmekte.  Veri Koruma Yönetmeliği 

AB’de kişisel veri sahiplerine mal veya hizmet sunan ya da ilgili veri sahiplerinin davranışlarını gözlemleyen kurumların GDPR karşısında sorumlu olduğu kabul edilir. GDPR metninde kullanılan “davranışların izlenmesi” terimiyle, bireylerin tüketim tercih ve alışkanlıklarının tespitine yönelik teknik yöntemlerle Internet üzerindeki faaliyetlerinin gözetlenmesi ifade edilip; AB dışında faaliyet göstermesine karşın AB tüketicisini hedefleyen şirketlerin GDPR’a tabi olacakları anlaşılmaktadır. Veri Koruma Yönetmeliği 

KVKK ve GDPR’daki Temel Kavramlar

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi GDPR’da yer alan “dosyalama sistemi” ile örtüşmekte olup; veri kayıt sistemleri elektronik ve fiziksel ortamlarda oluşturulabilmektedir.

Veri sorumlusu: Kişisel verilerin işlenme amaç ve yöntemlerini belirleyip, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler olarak ifade edilip, GDPR’da veri kontrolörüne karşılık gelmektedir.  Ver

 

i Koruma Yönetmeliği 

Veri işleyen: Veri sorumlusundan aldığı yetki ile kişisel verileri işleyen gerçek veya tüzel kişiler olup tanım GDPR’a uygundur.

GDPR, kişisel veri ihlallerine ilişkin durumlarda hem veri kontrolörü hem de veri işleyicisini sorumlu tutmaktadır. KVKK’da veri sorumlusu ve veri işleyen açısından farklı sorumluluk düzeyleri belirlenmiş, idari cezaların uygulaması bakımından da yalnızca veri sorumlularına yaptırım uygulanacağı belirtilmiş, veri sorumluları sicil kaydında da sadece veri sorumlularına ait bilgilerin yeterli olacağı belirtilmiştir.

 Veri Koruma Yönetmeliği 

 

Açık Rıza: KVKK’da kişisel verilerin toplanması, işlenmesi ve saklanması bakımından kişinin rızasının alınması gerekli olup; bu verilerin işlenmesine özgür irade ile, yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilmiş olması aranmaktadır. GDPR’a göre rıza; veri sahibinin beyanı, durumu veya onay ifade eden bir davranışı yoluyla kişisel verilerinin işlenmesini özgür iradesiyle, belirli bir konuda, aydınlatılmış ve rızanın açıkça, kesin bir biçimde verilmiş bulunması ifadesi kullanılmaktadır.

Anonim Hale Getirme: KVKK’da kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi “anonimleştirme” kavramıyla açıklanmış olup; GDPR’da ise “pseudonymisation/bulanıklaştırma” tanımı kullanılmakta, şifreleme ve bulanıklaştırmayı da içerebilecek uygun önlemlerin varlığını aranmaktadır. Bulanıklaştırma ile kişisel verilerin ek bilgi kullanılmaksızın belirli bir veriyle ilişkilendirilemeyecek biçimde işlenmesi anlatılmaktadır.  Veri Koruma Yönetmeliği 

KVKK’da düzenlemelerin uygulanması bakımından kamu ve özel sektör ayrımı yapılmamış olup her iki sektör bakımından da bağlayıcıdır. Veri sorumlularının, kamu/özel sektör ayırımı yapılmaksızın kişisel verilerin güvenliğine ilişkin yükümlülükleri belirlenmiştir. GDPR ile getirilen düzenlemeler kapsamında verileri işleyen herhangi bir şirket, bulut hizmet sağlayıcı ya da birey de verinin hukuka uygun işlenmesinden sorumlu kabul edilmektedir. Bu çerçevede, GDPR kapsamında veri işleme sayılan ve kişisel veriye ilişkin gerçekleştirilen her türlü faaliyetin tüm failleri söz konusu işlemeden kaynaklı bütün uygunsuzluklardan sorumludur. Dolayısı ile AB sınırları dışında bulunup ta AB üyesi ülke vatandaşlarına hizmet veren servis sağlayıcıları açısından da getirilen para cezaları bağlayıcıdır.

KVKK’da yer almayan bir diğer madde ise Unutulma Hakkı. GDPR bazı istisnalar dışında veri sahibine, kendisine ait kişisel verilerinin mümkün olan en kısa sürede silinmesini veri kontrolöründen talep etme hakkı vermiş olup; veri kontrolörü söz konusu kişisel verileri gecikmeksizin silmekle yükümlüdür.

KVKK’da karşılığı bulunmayıp veri sahibine tanınan bir diğer yetki ise, kişisel verisini tutmaya yetkili veri kontrolöründen bir başkasına taşıyabilmesidir. Hassas verilerin işlenmesi bakımından “zorunlu veri koruma görevlisi”nin belirlenmesi ve riskli veri işleme faaliyetleri açısından “zorunlu veri koruma etki değerlendirmesi”nin yapılması öngörülmektedir. Veri Koruma Yönetmeliği 

GDPR, veri işleyen tarafların artırılmış sorumluluğu, unutulma hakkının tanımlanması, idari para cezalarına ilişkin yaptırımların artırılması, veri taşınabilirliği ve etki değerlendirmesi ile başlangıçtan ve tasarımdan itibaren güvenlik yaklaşımlarına karşılık gelen maddeler KVKK’da bulunmamaktadır.  Veri Koruma Yönetmeliği 

GDPR’a Uyumluluk İçin Ne Yapmalıyız?

Öncelikle KVKK ve GDPR’ın ne olduğu ve işimizi nasıl etkilediğini anlamalıyız. Mevcut durumumuzda KVKK-GDPR’a uyum seviyemizi belirleyerek “şu an ne durumdayız?” sorusunun yanıtını vermeliyiz. Ardından “fark analizi” çıkararak üzerinde çalışılması gereken alanların belirlenmesi, uyumluluğu sağlamak için hareket planının hazırlanması ve bu planın işleme sokulması adımlarını izlemeliyiz. Planın uygulanması sırasında Bilgi Güvenliği Yönetim Sistemimizin (ISMS) ISO 27001 gibi uluslararası kabul görmüş bir standarda karşı etkinliğinin gözden geçirilmesini sağlamalıyız. Bir bulut hizmet sağlayıcısı isek ISO 27018 uyumluluğumuzu da 27001 yanında incelemeyi unutmayalım. KVKK, GDPR ve bilgi güvenliği politikalarımızı yazılı hale getirmeliyiz. Bir veri ihlali durumunda nasıl tepki vereceğimizi belirlemeliyiz. Çalışanların KVKK ve GDPR farkındalık eğitimi almasını sağlamalıyız. Veri Koruma Yönetmeliği