AB Genel Veri Koruma Yönetmeliği 25 Mayıs 2018'de Yürürlüğe Giriyor

14.05.2018

Tüketici gizliliği konusunda yapılan en büyük reformlardan birisi olarak gösterilen AB Genel Veri Koruma Yönetmeliği, AB ülkeleri ve firmaları ile iş yapan firmalarımıza yeni yükümlülükler getiriyor.

25 Mayıs 2018 tarihinde yürürlüğe girecek olan AB Genel Veri Koruma Yönetmeliği ile birlikte internet siteleri ve diğer tüm hizmetlerin veri toplaması sadece açık ve net onay süreci ile mümkün olacak. Şirketler sadece sundukları hizmetlerle gerçekten ilgisi bulunan verileri alabilecekler. Verileri işleyenler talep edilmesi durumunda hangi verileri depoladıklarını ve bunlarla ne yaptıklarını açıklamak durumunda kalacaklar. Şirket verilerinin hack'lenmesi halinde şirket müşterilere açıklama yapmak zorunda olacak ve cezai yaptırımlarla karşılaşacak. İsim, fotoğraf, e-posta, banka detayları, sosyal medya hesapları, tıbbi bilgiler, sosyal güvenlik bilgileri, pasaport bilgileri, bilgisayarın IP adresi gibi kişiyi doğrudan yollarla tanımlamaya yardımcı olacak veriler, GDPR kapsamına giriyor.

İnternet sitelerini veya Online CRM v.b. uygulamalarını kurumsal bir firmaya teslim etmemiş olan firmalar kötü sürprizlerle karşılaşabilir. Sitenizi veya kullandığınız online uygulamaları kurumsal bir firmaya değil de herhangi bir kişiye veya kurumsal olmayan bir yere yaptırırsanız, bir veri ihlali durumunda GDPR kapsamında 20 milyon Euro'ya kadar ciddi cezalarla karşılaşılabilir. Bu anlamda müşteri verileri ile (e-ticaret, e-ihracat v.b.) yapan firmaların hangi altyapı firmasıyla çalıştığına çok dikkat etmesi gerekiyor. 

 

Bu durum benim işimi nasıl etkiler?

  • AB vatandaşlarıyla ilgili verilerle çalışan tüm şirketlerin buna uygun hareket etmesi gerekiyor.

  • Bu kurallar, AB vatandaşlarının verilerini işleyen, ister AB’de isterse AB dışında olsun tüm kuruluşlar için geçerlidir

  • Kişisel olarak tanımlanabilecek bilgileri işleyen ya da saklayan kuruluşların, kişisel veri kaybını önlemek için gerekli güvenlik önlemlerini uygulamaya almaları gerekmektedir.

 

İşletmemin neyle uyumlu olması gerekmektedir?

  • Kendinizi değerlendirin
    250 ya da daha fazla kişi çalıştıran şirketler için bir Veri Koruması Görevlisi gerekmektedir. Kuruluşların, çalışanlarının ve müşterilerinin kişisel olarak tanımlanmalarını sağlayacak bilgileri işlenmesini şirket içinde değerlendirilmeleri gerekmektedir

  • Veri saklayan şirket içi ya da şirket dışı ürünleri / cihazları eşleyin
    Veri güvenli politikanıza göre şirket ekipmanlarını kayıt altına alın, kullanılmalarını zorunlu hale getirin ve veri şifrelemesinin kullanıldığından emin olun. Bu cihazlar arasında, sınırlı olmamak kaydıyla aşağıdakiler sayılabilir: sunucular, sabit disk sürücüleri, SSD’ler, USB Flash sürücüler, bilgisayarlar ve mobil cihazlar sayılabilir

  • Envanter Analizi
    Toplamdaki kişisel veri miktarını değerlendirin

  • Boşaltın
    Gereksiz kişisel olarak tanımlama sağlayabilecek bilgileri içeren arşivleri ortadan kaldırın (PII)

  • Bilgi Denetleyicileri
    Gizlilik riski ve etki değerlendirmelerini gözden geçirin

  • Sözleşmeler
    Mayıs 2018’de etkin başlangıç tarihinden sonra zorunlu hale gelen politikaları uygulamaya alarak işletmenizi gelecekteki gereksinimlere uygun hale getirin

  • Veri İhlalleri
    Yönetmelik, 72 saat içinde uyarı yapılmasını gerektirmektedir


Detaylı Bilgi: http://www.eugpdr.org 
 

EUR-Lex | Orijinal İngilizce Version

Avrupa Birliği Bakanlığı Çevirisi | Türkçe Versiyon (PDF)

Avrupa Birliği Bakanlığı Çevirisi | Türkçe Versiyon (Word)

AB Genel Veri Koruma Tüzüğü'nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi - T.C. Kalkınma Bakanlığı