GDPR – KVKK düzenlemeleri kimleri ilgilendiriyor?

Mayks’ta yürürlüğe giren GDPR’KN (Genel Veri Koruma Düzenlemesi) yank skra Türkiye’de 2016 Nisank’nda yürürlüğe giren KVKK (Kişisel Verileri Koruma Kanunu) ile dünyadaki veri koruma artkk birbiriyle çok daha uyumlu hale geldi.

CIO Turkiye - - UZMAN GÖRÜŞÜ - Ozan İnan Veeam Türkiye Ülke Müdürü

KVKK ve GDPR gibi düzenlemelerden kaçabileceğiniz bir yer de yok çünkü tüm yayınlar da bundan bahsediyor. Bu 4 harfli iki tanım artık tüm şirket yöneticilerinin rüyalarına giriyor. Eminiz ki KVKK ve GDPR’DAN sonra kurumunuz konusunda endişelenecek bundan daha büyük sorunlarınız vardır.

Bu konuda önümüzdeki aylarda cezaların da manşetlere çıkmasıyla birlikte çok daha fazla konuşulacak. 2017’de KVKK doğrultusunda Türk şirketlerine ilk cezalar kesildi. Kişisel Veri Koruma Kurulu Başkanı Faruk Bilir 19 şirkete toplamda 125 bin Tl’lik ceza kesildiğini belirtti. Bu da medya, devlet kurumları ve kamunun veri korumaya nasıl yaklaştığını ve bu konuda çok hassas olduklarını göz önüne seriyor. Tüm bu uyumsuzluklara dair olaylar, diğer şirketlerin cevaplarını nasıl etkileyeceği de göz önüne alındığından, oldukça önemli. Dünya genelindeki kurumlar ilk kimin bu konuda tartışma çıkartacağını ve böylece kendilerinin de aynı hataları yapmaktan ve aynı tür cezalardan nasıl korunabileceklerini görmek istiyor. Bu yüzden gerek GDPR gerekse de KVKK ile ilgili makalelerin ve başarı hikâyelerinin önümüzdeki dönemde sıklaşacağını öngörebilirsiniz.

Veeam olarak GDPR’ıN modern çağdaki çok daha kapsamlı kişisel veri yönetiminin başlangıç çizgisi olarak düşünülmesi gerektiğine inanıyoruz. Bu yüzden de uyumluluk için harekete geçmeyi son dakikaya bırakmamak gerekiyor. Bunu da büyüme ya da daha geniş dijital dönüşüm inisiyatifleri gibi temel stratejik iş kararlarından biri gibi ağırbaşlılıkla kabul etmek gerekiyor. Bunu yaparak işletmeler süreçlerini korumak için “tasarımdan gelen gizlilik” yaklaşımıyla yola çıkmalı.

Bunu yapmak için birçok yol var. Tüm bunlar düzenlemeyi yapan kuruluşların bakışlarını çevireceği bir sonraki işletmenin sizin işletmeniz olmasının önüne geçecektir.

Türkiye’de yürürlüğe giren KVKK uygulaması neler getiriyor?

GDPR’DAN bahsediyoruz ama Türkiye’de ondan önce yürürlüğe giren KVKK’Yı göz ardı etmemeliyiz. Hizmet sunmak, ürün sunmak ya da hedef kitlenin farklı mecralardaki davranışlarını izlemek gibi amaçlarla bireylerin kişisel verilerini ve bilgilerini işleyen tüm kuruluşların, KVKK ile uyumlu olması gerekiyor.

KVKK ile yapılan düzenlemede özellikle dikkat çekici olan başlıklar şöyle:

• 1. KVKK veriyi kontrol eden bireylerin ve tüzel kişilerin kanunla uyumsuzluk karşısında doğrudan sorumlu olacaklarını belirtiyor. Ama GDPR, bu tür uyumsuzluklarda veriyi kontrol eden kadar veri işlemcisini de sorumlu tutuyor. 2. Kvkk’daki cezalar en fazla 1 milyon TL ile sınırlandırılmışken GDPR’DA ise cezalar 20 milyon Euro ya da yıllık cironun yüzde

4’üne kadar (hangisi daha fazlaysa) kesilebiliyor.

• GDPR, veriyi kontrol edenlerin veri koruma yetkililerine kayıt olmasındansa tüm işleme süreçlerinin kayıtlarının iletilmesini istiyorlar. Ama KVKK’NıN çok daha katı bir mekanizması var ve veriyi kontrol edenlerin Veri Kontrol Sicili’ne (Türk Kişisel Veri Koruma Kurulu’nun denetiminde görevli olarak çalışıyor) kayıt olmalarını talep ediyor. Ayrıca bu kayıt mecburiyetinin bir parçası olarak oldukça sıkı bir şekilde kayıt tutulmasını da talep ediyor. GDPR’ıN aksine KVKK’DA bir Veri Koruma Sorumlusu’nun olması isteğe bağlı.

Şeffaf ve güvenilir olun

Son birkaç yılda meydana gelen ve yoğun bir şekilde haberleri yapılan veri sızıntıları sayesinde toplum da veri güvenliği konusunda daha önce hiç olmadığı kadar bilgili ve endişeli. Örneğin bu yıl bir banka, bir dava ile ilgili olarak göndermesini istediği son 6 aylık toplam harcama bilgisi yerine kredi kartı sahibinin 6 aylık ekstresini yolladığından 30 bin Tl’lik bir cezaya çarptırıldı. Artık gerek GDPR ve gerekse de KVKK veri toplanmasına onay vermeyi kullanıcıların da dâhil olması gereken bir faaliyet haline getiriyor. Aynı şekilde müşteriler ve kullanıcılar da kendi kişisel verilerinin üzerinde tam yetkiye sahip oluyor. Kişisel bilgilerinin kurumlar tarafından kullanılması, toplanması ve paylaşılması üzerine engellemeler koyabiliyorlar. Veri denetçileri bu zorunlulukları yerine getirmek zorunda kalacak. Sadece uyum nedenleriyle değil müşteri hizmetleri ve marka itibarı nedeniyle de buna mecbur kalacaklar.

Uçtan uca güvenliği değerlendirin

Veri koruma uzmanlarının vereceği ilk tavsiyelerden biri kapsamlı veri haritası oluşturmak için zaman ve enerji harcanmasının gerektiği. Bu verinin kurumunuza nereden girdiğini, nasıl toplandığını ve varlığına temel oluşturan altyapı ve depolama çözümünün cinsini en hızlı şekilde görmenizi sağlamalı.

Şimdiye kadar her işletmenin bunu tamamlamış olması gerekiyordu. Atılması gereken bir sonraki adım ise veri yönetimine, erişilebilirliğe ve güvenliğe reaktif değil proaktif bir yaklaşım sergilemek.

Pratikte neye benzediği ise işe göre farklılık gösterecek. Büyüklük ya da yapısı fark etmeksizin her kurum herhangi bir ihlal meydana geldiğinde uygulanacak erişilebilirlik ve yedekleme stratejileri olan veri izleme ve koruma amaçlı bir planı benimsemek zorunda. Bu planlar durmaksızın değişen veri mimarisini hesaba katacak şekilde de esnek olmalı. En önemlisi de bu düzenlemelere uygunluk sadece BT bölümü tarafından değil işletmenin tümü tarafından benimsenerek uygulanmalı.

Uyumluluğun yeniçağk

Her iki düzenlemeye de uyumsuzluğun maliyeti inanılmaz. Bir kez daha hatırlatmak gerekirse ciddi GDPR ihlalleri 20 milyon Euro ya da yıllık cironun yüzde 4’ü (hangisi daha fazlaysa) kadar yüksek oranlarda ceza ile sonuçlanabilecek. En ufak bir veri koruma problemi bile itibarın zedelenmesine yol açabilirken giderek artan şekilde verinin amacının dışında kullanılması ise şirketin imajı üzerinde ciddi zararlara neden olabilir. Tüm endüstriler kötü veri yönetimi yüzünden zarar görebilir. Örneğin bu tür suçlamalarla karşı karşıya kalan dernekler kendilerine yapılan bağışları kaybedebilir. Rakiplerinizin günahlarının sonuçlarını siz de çekebilirsiniz.

Ama soru hala orada: Düzenlemeyi yapanlar kime ve neye bakacaklar? Yaklaşımları hoşgörülü mü olacak yoksa örnek olması için ilk ceza keseceklere karşı acımasız mı olacaklar?

Gerçekte ise zaman gösterecek. Ama şimdi sizin ve işletmenizin bu düzenlemelere uyumluluk konusunda en üst düzeyde odaklanması gerekiyor. Kaybolmayacaklar ve ilk başlarda bazı sorunlara neden olabilirler. Ama uzun dönemde işletmenizin veri sağlığı ve onları nasıl işleyeceğiniz konusunda olumlu bir adım.

Veriyi kontrol edenlerin bu yüzden güçlü veri yönetim ihtimallerine karşı hazırlıklı olmaları, veri sızıntısı farkındalığı için tüm çalışanları eğitmeleri, veri sızıntısı planları geliştirmeleri, güvenilir yedekleme kopyalarına sahip olmaları ve en önemlisi de veri yönetiminin “yanlış gitmesi” halinde hemen işleme konabilecek ve etkili bir iletişim stratejileri olması gerekiyor.

Hizmet sunmak, ürün sunmak ya da hedef kitlenin farklk mecralardaki davrankşlarknk izlemek gibi amaçlarla bireylerin kişisel verilerini ve bilgilerini işleyen tüm kuruluşlarkn, KVKK ile uyumlu olmask gerekiyor.

Newspapers in Turkish

Newspapers from Turkey

© PressReader. All rights reserved.