info@tetrabilisim.com.tr
(+90) 216 740 00 20
Tetra  »  Hizmetlerimiz »  GDPR

GDPR (General Data Protection Regulation) Nedir?

GDPR, Avrupa Birliği (AB) de yaşayan kişilerin verilerinin işlenmesinin hukuksal düzenlemelerini konu alan ve kişisel verilerin sınır ötesi serbest dolaşımlarını düzenleme amacıyla oluşturulmuş, 2016 Mayıs ayında AB Komisyonu tarafından kabul edilerek 25 Mayıs 2018’de yürürlüğe girmiştir.

Neden GDPR’a Uyumlu Olunmalı?

Kişisel verileri GDPR’a uyumlu olarak güvenli bir şekilde işleyen kuruluşlar gerek AB ülkeleri gerekse diğer ülkeler ile olan ticaretlerinde prestij ve güven kazanacaktır.

Ayrıca GDPR, uyumluluk konusunda yasalarla uyum sağlamayan organizasyonlara son derece ağır cezalar getirmektedir.

20 Milyon Euro'ya kadar ya da bir önceki mali yılın global cirosunun %4'üne kadar para cezası uygulanabilir.

GDPR’ın Faydaları Nedir?

Ulusal yasalar arasındaki tutarsızlıkların ortadan kaldırılır,

Bireylere daha iyi koruma sağlamak için çıtayı yükseltir,

İnternet, sosyal medya, big data ve davranışsal pazarlama gibi güncel zorlukları daha iyi ele alarak etkin bir gizlilik yaklaşımına sahip olmalarını sağlar,

Birden fazla veri koruma otoritesine bağlı şirketler için yüksek maliyetli idari yükleri azaltır.

GDPR’ın Kapsamı Nedir?

GDPR Düzenlemesi; Veri Sorumlusu (AB sakinlerinden veri toplayan kuruluş) veya Veri İşleyen (veri sorumlusu adına veri işleyen kuruluş) veya Verisi İşlenen İlgili Kişi AB’de bulunuyorsa geçerlidir.

Ayrıca düzenleme; Avrupa Birliği dışında konuşlanmış fakat AB sakinlerinin kişisel verilerini toplayan veya işleyen organizasyonlar için de geçerlidir.

Verimli Bir GDPR Yönetim Sürecinde Püf Noktaları Nelerdir?

1. Dokümantasyon Yönetimi: Dokümanların tüm yaşam döngüsünün yönetilmesi, izlenebilirlik sağlanmalı, güvenli erişim sağlanmalıdır.

2. İlgili Taraflar İle İletişim: En etkili iletişim prosesi, kuruluşun genel iletişim stratejisinin parçası olarak iç ve dış ilgili taraflarla sürekli temas halinde olmayı gerektirir.

3. İletişim Faaliyetlerinin Planlanması:

I. Kuruluş, bilgi güvenliği iletişim faaliyetiyle ne elde etmek istediğine karar vermelidir.

II. Belirlenen hedefler spesifik, ölçülebilir, elde edilebilir, gerçekçi, süreli ve bilgi güvenliği iletişim hedefleriyle tutarlı olmalıdır.

III. Böylelikle kuruluş, bilgi güvenliği iletişim faaliyetlerini değerlendirebilir ve hedefe erişip erişilemediğini belirleyebilir.

IV. Kuruluş, ilgili taraflar için endişe kaynağı olan bilgi güvenliği meselelerini öngörmelidir.

4. İletişim Araçlarının Planlanması: Broşür, poster, reklam, basın toplantısı, e-posta vb iletişim araçlarının belirlenmelidir. İletişim yaklaşımları seçilirken hedef kitlenin ihtiyaçları ve ilgi seviyesi göz önünde bulundurulmalıdır.

5. İletişim Değerlendirilmesi: İletişimin etkilerini görmek için yeterli süre verilmelidir. Veri koruma iletişiminin etkinliği gözden geçirilmeli ve değerlendirilmelidir.

6. Farkındalık & Eğitim: Planlı ve sistematik bir eğitim süreci, kuruluşun yeterliliklerinin arttırmasına ve veri koruma hedeflerine erişmesine yardımcı olacaktır. Becerilerini geliştirme sürecinde olan personelin katılımı, süreci daha iyi sahiplenmelerini ve başarısını güvence altına almak için daha fazla sorumluluk almalarını ve farkındalığın artmasını sağlamalıdır. Farkındalık yaratmak için anketler yaparak personelin veri koruma hakkında bilgisinin ölçülmesi ve değerlendirmesi yapılır. Anket ile tespit edilen bilgi eksiklikleri ele alınarak eğitim programı hazırlanmalıdır.

7. İhlal Olayı Yönetimi: Veri sorumlusu ve veri işleyen, risk için uygun bir güvenlik seviyesi sağlamak üzere uygun teknik ve organizasyonel tedbirler uygulanmalıdır. Fiziksel veya teknik bir ihlal olayı durumunda kişisel verilerin erişilebilirliğini hızlıca normale döndürme kabiliyeti kazanılmalıdır.

8. İhlal Olayına Müdahale Planı:

I. Hazırlık: Bu aşamada tehditler analiz edilmeli, gerçekçi tatbikatlar yapılmalı ve kuruluşun hazırlık seviyesi değerlendirilmelidir. Gerekiyorsa plan modifiye edilmelidir.

II. Müdahale: İhlal olayı tespit edilmeli ve uygun faaliyetler gerçekleştirilmelidir.

III. Takip: Kapsamlı bir araştırma yapılmalı ve ilgili taraflar ihlal olayı hakkında bilgilendirilmelidir. İhlal olayı sonrası yeniden değerlendirme yapılmalı ve kontroller/prosesler gereken şekilde güncellenmelidir.

Sonuç

Veri sorumlusu, uygunsuzlukların veya potansiyel uygunsuzlukların belirlenmesi, düzeltici faaliyetlerin ve sürekli iyileştirmenin hayata geçirilmesi ve etkinliğinin değerlendirilmesi için gerekli bütün teknik ve organizasyonel tedbirlerin alınması ile ilgili çalışmalarını yapar. Düzeltici faaliyetler kapsamında yapılan sürekli iyileştirmeler problemin büyüklüğü ile orantılı olur. Hedef, uygunsuzluğun/potansiyel uygunsuzluğun kök nedenlerini ortadan kaldırmak olmalıdır.

Kişisel verilerin güvenliği sistemi ile ilgili uygunsuzlukların veya potansiyel uygunsuzlukların saptanmasından ve Veri Koruma Görevlisine aktarılmasından tüm kurum çalışanları sorumludur. Tüm çalışanlar iş tarifleri uyarınca kendi yetki ve sorumlulukları kapsamındaki uygunsuzluklar veya potansiyel uygunsuzlukları Veri Koruma Görevlisine aktarmaktan sorumludur.

Veri Koruma Görevlisi ise ilgili iyileştirme faaliyetlerini başlatmak, takip etmek, çözümler bulmak, çözümleri uygulamak, etkinliğini takip etmek ve Üst Yönetime bildirmekten sorumludur.

Kurum genelinde birden çok birimi ilgilendiren kapsamlı düzeltici faaliyetler ve sürekli iyileştirmelerle ilgili bilgiler Yönetim Kurulu Toplantısında sunularak gerekli iyileştirme çalışmaları başlatılır.

Uygunsuzluk zamanında giderilmediyse nedeni belirtilerek yeni sonlandırma tarihi belirlenir. Sonlandırma tarihi sonunda olay incelenerek kapatılır ve kayıt altına alınır.

Herhangi bir kriz durumunda, acil duruma dahil olan kişilerin anlık kararlar vermek yerine takip edebileceği bir faaliyet rehberi olması için eksiksiz ve güncel dokümantasyon bulunması önemlidir.

Bu nedenle özellikle ihlal olayına müdahale planı, veri bildirim planı vb. gibi kritik dokümantasyonun düzenli aralıklarla gözden geçirilmesi ve güncellenmesi çok önemlidir.