GDPR: Öğrenilecek 5 Ders Veeam Uyumluluk için Deneyimini Paylaşıyor

Giriş

Bu white paper’ın amacı, GDPR’nin bizim için ne anlama geldiğine dair Veeam’in bakış açısını sunmaktır. GDPR ile ilgili internette bolca bilgi bulunabilir. Birçok şirket ve avukat kendilerini uzman olarak konumlandırsa da, GDPR uyumluluğu her kuruluş için birbirinden farklıdır. Kuruluşunuzu en iyi siz tanırsınız ve bu yüzden kuruluşunuzun GDPR uyumluluğuyla ilgili en iyi doğru sonuca siz ulaşabilirsiniz. Sizinle sadece GDPR uyumluluğuyla ilgili değil, Veeam’in yazılım çözümlerinin
veri yönetimi ve veri koruma stratejilerinizde ve kuruluşunuzu Always-On™ duruma getirmede oynadığı kritik rolle ilgili görüşlerimizi ve uyumluluğa giden yolda öğrendiklerimizi paylaşacağız.
GDPR hakkındaki görüşlerimizi hem teknik hem de yasal uyumluluk bakış açısıyla paylaşacağımız bu white paper teknik bilgiler veren bir belge olarak hazırlanmıştır. GDPR’nin ardından ilkeleri inceleyecek ve GDPR’nin 1995’te yürürlüğe konulan Veri Koruma Direktifi’nden bu yana Avrupa’da veri gizliliğini yönetmeye yönelik ilk önemli düzenleme olma yolunda geçirdiği evrimden bahsedeceğiz. Düzenlemedeki en önemli değişiklik, GDPR’nin kişisel verilerinin kontrolünü tekrar bireylere vermesi, bunun yanında kişisel verileri toplayan, işleyen, analiz eden ve kullanan kuruluşlara da bireylere karşı daha fazla yükümlülük getirmesidir. Veri gizliliği bireylerin temel haklarından biridir ve kişisel verileri işleyen tüm kuruluşlar bu verileri yasal bir şekilde kullanmakla ve kendi şirket içi gizli bilgilerini korudukları standartlarla korumakla yükümlüdür. Ürün ve çözümlerimizin Kesintisiz Çalışan Kuruluşunuzda İş Sürekliliği sağlamanıza yardımcı olacağına inanıyoruz.

GDPR ne zaman yürürlüğe girecek?

25 Mayıs 2018. GDPR 27 Nisan 2016 tarihinde yasalaşmış olmasına rağmen, kuruluşların Veri Koruma Direktifi’nden GDPR’nin daha geniş kapsamlı gereksinimlerine geçmelerini sağlamak için iki yıllık bir geçiş dönemi sunuldu.

GDPR gerçekte kuruluşların neler yapmasını gerektiriyor?

GDPR, beş (5) ana ilkeye indirgenebilir.
1. Verilerinizi tanıyın. Kuruluşunuzun topladığı kişisel olarak tanımlayıcı bilgileri (PII) ve bunlara kimin erişebildiğini belirleyin.
2. Verileri yönetin. PII erişimi ve kullanımı ile ilgili kural ve süreçleri belirleyin.
3. Verileri koruyun. Bilgileri korumak ve veri ihlallerine karşı harekete geçmek için güvenlik denetimlerini oluşturun ve bunların kullanılmasını sağlayın.
4. Belgeleyin ve uyumluluğu sağlayın. Süreçlerinizi belgeleyin, veri taleplerini işleyin ve herhangi bir sorunu veya  veri ihlallerini kılavuzlar doğrultusunda bildirin.
5. Sürekli iyileştirme. Dijital dünyamız sürekli gelişiyor ve Veeam dijital dünyamızın önümüzdeki beş sene içerisinde, son 10 senedeki gelişiminden çok daha hızlı gelişeceğini öngörüyor. Kurumlar sürekli olarak mevcut prosedürlerini ve protokollerini değerlendirip test etmeli, bu prosedürleri dijital dünyamız geliştikçe güçlendirmelidirler.

GDPR uyumluluğu için her duruma uygun bir çözüm neden yok?

Yasa aynı olmasına rağmen düzenlemeyle uyumluluğu sağlaması gereken kuruluşlar ile kuruluşların verileri toplama, yönetme, kullanma ve koruma yöntemleri farklıdır. Ayrıca PII de geniş bir bilgi kategorisi olarak farklıdır ve genel olarak bir kişiyi tanımlamak için kullanılabilen tüm veriler olarak tanımlanmaktadır. Bunlara çevrimiçi tanımlayıcılar (IP adresi), ad, iletişim bilgileri, satış veritabanları, müşteri destek verileri, müşteri geri bildirim formları, konum verileri, video görüntüleri, ödül programları, sağlık bilgileri, finansal bilgiler ve daha fazlası dahildir. Ayrıca ırk, etnik köken, sağlık ve cinsel eğilim gibi hassas PII bilgileri gibi bir kategori de vardır. Bu tür hassas PII bilgilerini işleyenler için kurallar, “normal” ve “sıradan” PII bilgilerinden daha da katıdır. Birçok
kuruluş benzer durumlarla karşı karşıya olsa da, çeşitlilik bilgilerin miktarından, türünden, amacından ve en önemlisi insanlardan kaynaklanmaktadır. GDPR uyumluluğunun kritik bileşenlerinden biri, PII bilgilerini işleyecek insanların eğitimidir.

Yeni GDPR düzenlemesi altında ne gibi değişiklikler bekleniyor?

GDPR, PII bilgilerini toplayan veya işleyen kuruluşlara geniş çapta sorumluluklar yüklemek üzere yürürlüğe sokulmuştur.
GDPR’nin misyonu ve ilkeleri şunlardır:

1. Bireylere adil ve şeffaf yaklaşım sunma. Kuruluşlar PII bilgilerinin yasal bir şekilde kullanıldığını bireylere bildirmelidir.

2. Bilgilerin kullanımını gerekli olanlarla sınırlama. Kuruluşlar PII bilgilerini yalnızca açık, belirtilen ve meşru bir amaçla kullanabilir. PII bilgileri sadece bireye açıklanan nedenle veya amaçla kullanılabilir.

3. Sadece ihtiyacınız olan bilgileri toplama. PII bilgileri çok geniş kapsamlıdırve kuruluşlar sadece amaçları için ihtiyaçları olan yeterli miktarda bilgiyi toplamalıdır.

4. Doğruluk ve unutulma hakkı. Kuruluşların artık kayıtları doğru tutma ve bireylerin kendileriyle ilgili PII bilgilerini düzeltme taleplerini yerine getirme yükümlülükleri vardır. Kuruluşlar ayrıca bireylerin unutulma hakkına saygı duymalı, yani talep edilmesi durumunda PII bilgilerini silmelidir.

5. Sınırlı depolama. PII bilgileri sadece açıklanan meşru amacın tamamlanması için gereken süre boyunca depolanmalıdır.

6. Verileri koruma. Kuruluşlar, işleyerek veya yazılım ya da şifreleme gibi teknik önlemler kullanarak PII bilgilerinin korunması için gereken önlemleri almalıdır.

7. Veri koruma yöneticisi atama. Bu pozisyon, verilerin geniş ölçekli olarakizlenmesinin bir gerekliliği olarak ortaya çıkacaktır ve veri koruma yasaları ile uygulamaları hakkında uzmanlık derecesinde bilgi gerektirecektir.Bu pozisyondaki kişi doğrudan yönetimin en üst seviyesine rapor vermelidir.

Kimlerin GDPR ile uyumlu olması gerekir?

PII bilgilerini işleyen AB içindeki kuruluşlar veya hizmet sunmak, ürün sunmak ya da davranışlarını izlemek (ör. sosyal medya) gibi amaçlarla AB vatandaşlarının kişisel bilgilerini işleyen AB dışındaki kuruluşların uyumlu olması gerekir. Bu düzenlemenin Veri Koruma Direktifi’nden önemli bir farkı da, Veri Koruma Direktifi’nin sadece “denetçilere”, yani verileri kendileri toplayarak işleyen kuruluşlara yönelik olmasıdır. Öte yandan GDPR ayrıca “işleyiciler”, yani başkaları adına PII bilgilerini işleyen şirketler için de bağlayıcıdır.

Cezai yaptırımlar nelerdir?

GDPR ile Veri Koruma Direktifi arasındaki önemli farklardan biri, GDPR altında, maksimum olarak kuruluşunuzun küresel gelirinin %4’üne ya da 20 milyon Euro’ya (hangisi daha fazlaysa) varan oranlarda, ciddi cezaların kesilebilmesine olanak tanınmasıdır. Bunun maksimum ceza olduğunu ve ihlalin türüne göre farklılık gösterebileceğini unutmayın.

PII bilgilerini işlemeyle ilgili yasal dayanak nedir?

GDPR tarafından, sözleşme için gerektiğinde işleme de dahil çeşitli dayanaklar sağlanmaktadır. Bireyin PII bilgilerinin işlenmesine onay verdiği veya bir kuruluşun, bireyin gizlilik hakkının önüne geçen iyi niyetli bir menfaate sahip olduğu durumlar bunlara örnektir.

Güvenlik için kuruluşlarla ilgili yöntem ve teknik yöntem arasındaki fark nedir?

GDPR’de, PII bilgilerinin güvenle saklanması için hem kuruluşlarla ilgili hem de teknik yöntemler ele alınmaktadır. GDPR kapsamında kuruluşlarla ilgili güvenlik yöntemleri, kuruluşunuzda PII bilgilerine erişimi olan kişilerin sayısını sınırlamak anlamına gelebilir. Teknik yöntem ise PII bilgilerine erişim için şifreyi zorunlu kılma veya şifreleme kullanma olabilir. GDPR, hangi güvenlik önlemlerinin ilgili PII bilgilerini korumak için uygun olduğunu belirlemeyi kuruluşlara bırakmaktadır.

GDPR ne tür kayıt tutma zorunluluğu getiriyor?

GDPR, PII bilgilerinin korunması için denetimler, prosedürler ve gelişmiş süreçler gerektirmektedir. Kuruluşların veri işleme etkinliklerinin ve özellikle de PII bilgilerinin AB dışına aktarımlarının kayıtlarını tutması gerekmektedir. Alınan güvenlik önlemlerinin belgelenmesi de zorunludur. Kuruluşlar değerlendirmeleri kendileri yapmakla sorumludur. Bununla birlikte piyasada destek ve rehberlik sunan birçok şirket vardır.

PII bilgilerini AB dışına aktarabilir miyim?

Evet, ancak GDPR AB vatandaşlarına ait PII bilgilerinin AB dışına aktarılmasıyla ilgili çok katı kurallara sahiptir.
Bu aktarımları olanaklı hale getiren sözleşme veya sertifikalar gibi çeşitli mekanizmalar vardır.

Kuruluşum tarafından toplanan PII bilgilerine erişebilecek satıcılarım ve iş ortaklarım ne olacak?

GDPR dahilindeki işleyiciler, kontrolcülere uygun teknik ve kuruluşlarla ilgili güvenlik önlemlerinin sağlandığı garantisini verdikleri sürece PII bilgilerini işleyebilir. Kuruluşunuz topladığı PII bilgilerini kullanan satıcılarla ve üçüncü taraf şirketlerle çalışıyorsa, bunları GDPR uyumluluğuna sahip olduğu garantisi vermelerini sağlayın.

GDPR hakkında bazı önemli noktalar:

• GDPR, PII bilgilerinin kontrolünü bireylere verir. Kuruluşlar PII bilgilerini neden işlediklerini bireylere bildirmelidir.
• Bireylerin, PII bilgilerinin düzeltilmesini veya silinmesini ve artık işlenmemesini (sistemden çıkma) isteme hakkı vardır.
• Bireylerin veri taşınabilirliğiyle ilgili hakları vardır ve kuruluşlar böyle bir talepte bireylere yardımcı olmalıdır.
• GDPR uyumluluğu bir seferde başlayıp sona ermeyecek. Yönetim, izleme ve gelişme konularında sürekli ve devam eden bir süreçtir.

Veeam’in GDPR uyumluluğuna giden yolculuğu ve başlıca beş ilke hakkında daha fazla bilgi almak istiyorsanız
BT uzmanları için adım adım kılavuzu indirin: https://www.veeam.com/wp-gdpr-compliance-experience.html

Veeam® olarak Genel Veri Koruma Düzenlemesi (GDPR) uyumluluğu için deneyimimizi sizinle paylaşmak istiyoruz. Her firmanın GDPR uyumluluk programı diğer şirketlerden farklı olabilir. GDPR, 1995 yılında yürürlüğe giren Veri Koruma Direktifi’ne (özellikle 95/46/EC sayılı düzenlemeye) yönelik önemli bir güncellemedir. Fakat verilerin çok yoğun kullanıldığı günümüz dünyası, 1995’teki dünyadan çok farklı. Birçok kişi GDPR’nin sadece BT departmanlarını ilgilendiren bir konu olduğunu düşünebilir ancak durum bunun tam tersi. Bu düzenleme sadece BT’yi değil, herkesi etkileyecek.

Yayınlandığı tarih itibariyle Veeam’in GDPR’yi nasıl yorumladığını göstermek için bu white paper’ı hazırladık. Kesintisiz Çalışan Kuruluşlar için İş Sürekliliği sağlamak amacıyla sanal, fiziksel ve bulut tabanlı iş yükleri için yedekleme, felaket kurtarma ve veri yönetimi yazılımları geliştiren özel bir bilgi teknolojisi şirketi olarak Veeam, sadece küresel çapta kurumluş için olarak değil, ürünlerimizin geliştirilmesi aşamasında da GDPR ile uyumluluğu sağlamaktadır.
Bu white paper, GDPR’nin kuruluşunuza nasıl uygulanacağına ilişkin yasal tavsiye veya kesin kurallar olarak görülmemelidir. GDPR’yi ve düzenlemenin kuruluşunuza nasıl uygulanacağını, tartışmak ve yerel anlamda uyumluluk için birlikte bir plan geliştirmek için bizim yaptığımız gibi yasal olarak nitelikli profesyonellerle birlikte çalışmanızı öneriyoruz. Veeam bu white paper’ı “olduğu gibi” sunmakta, bu white paper’daki bilgilerle ilgili açık veya zımni herhangi bir garanti vermemektedir.

Ocak 2018’de yayınlanmıştır. Sürüm 1.0

Leave A Comment

Your email address will not be published. Required fields are marked *