Avrupa Birliği’nin Genel Veri Güvenliği Düzenlemesi (GDPR) Hakkında Her Şey

Avrupa Birliği’nin Genel Veri Güvenliği Düzenlemesi (GDPR) Hakkında Her Şey
Türkiye FinTech dönüşümüne öncülük ediyor!

Avrupa Birliği tarafından hayata geçirilen Genel Veri Güvenliği Düzenlemesi; Google, Apple gibi şirketlerin veri güvenliği sistemlerini güncellenmesine öncülük ediyor.

Veri güvenliği, son yıllarda devletlerin giderek daha fazla üzerine eğildiği bir konu haline geldi. Dijital veri güvenliğinin özellikle uluslararası finans altyapısı için kritik önem taşıması, geniş çaplı birçok düzenlemenin hayata geçirilmesine etki etti. 2018’de Çin, PRC Siber Güvenlik Yasası’nı hayata geçirirken Avustralya, Privacy Amendment Act 2017 ile veri güvenliği bariyerlerini güçlendirdi. En çok dikkat çeken ve son bir yılda en fazla “etkileşim” üreten yasa ise şüphesiz Avrupa Birliği’nin (AB) Mayıs 2018’de hayata geçirdiği Genel Veri Güvenliği Düzenlemesi (GDPR) oldu.


450 farklı şirketin katıldığı ankete dayandırılarak hazırlanan Global Data Privacy Snapshot 2018 raporu, özellikle Know Your Customer (KYC) süreçlerinde birçok eksiği bulunan şirketlerin veri güvenliği alanındaki zaaflarını açıkça ortaya koymuştu. Rapora göre sağlık, teknoloji gibi alanlardaki şirketlerin yarısından fazlası veri güvenliği prosedürüne bile sahip değilken veri depolama, transferi ve yönetimi gibi aşamalarda ciddi güvenlik zaaflarının mevcut olduğu kaydedildi. Örneğin sağlık ve yaşam bilimleri alanında hizmet veren şirketlerin yüzde 23’ü alınan kararların tümünde gizlilik ve veri güvenliğinin değerlendirildiğini belirtti. Teknoloji şirketlerinin yüzde 38’i gizlilik ve veri güvenliğini yalnızca stratejik projelerinde değerlendiriyor.

Bu noktada geleneksel veri depolama ve işleme süreçlerini bulut tabanlı dijital sistemlere dönüştürmeye odaklanan şirketlerin 2019 itibarıyla en fazla dikkat ettiği nokta, GDPR başta olmak üzere hayata geçirilen birçok uluslararası düzenleme oldu. GDPR ile şirketlerin tüm veri toplama, işleme ve transfer süreçleri A’dan Z’ye revize sürecine girdi. Bunun sebebi sağlık, teknoloji gibi alanlardaki müşterilerin, günümüzde petrolün yerini alan verinin birincil kaynağını oluşturmasıydı.

GDPR ile veri güvenliğinde yeni dönem

Yüksek profilli teknoloji şirketlerinin “daha iyi hizmet ve ürün sunmak” amacıyla müşterilerinden topladıkları bilgiler, özellikle son yıllarda öne çıkan tartışma konularından biri haline geldi. Büyük, orta ve küçük ölçekli teknoloji şirketlerinin çevrimiçi hizmetler, uygulama ve cihazlardan topladıkları kullanıcı bilgilerinde, kullanım şartlarının dışına çıkıldığını anlamak uzun sürmedi.

GDPR; Silikon Vadisi şirketlerini gizlilik ve veri güvenliği politikalarında düzenleme yapmaya zorladı. Kullanıcı hizmetleri yenilenen ve tüm ziyaretçilere sunulması şart olan anasayfa bildirilerinin yanı sıra, gençleri koruyan yeni özellikler zorunlu tutuldu. Bazı şirketlere uyarı niteliğinde cezalar kesildi.

GDPR ile teknoloji firmalarının reklam algoritmaları için sınırsız veri toplama serbestliği ilk kez ciddi bir denetleme altına alındı. Yasanın hayata geçtiği Mayıs 2018’den bu yana geçen bir yıllık süreçte, 144 bin 376 kişi veri ihlali şikayetinde bulundu. Firmalardan gelen güvenlik ihlali ihbarı sayısı ise 89 bin 271 oldu. Bir yılda firmalara kesilen cezaların toplamı ise 20 milyon Euro’ya ulaştı. Söz konusu miktar, ceza kesilen firmaların 2017’deki toplam küresel gelirlerinin yüzde 4’üne denk geliyordu.

Reuters’a açıklamada bulunan Bristows hukuk şirketi sözcüsü Marc Dautlich’e göre yeni düzenlemeler ışığında ‘bir fırtına’ yaklaşıyor. Zira veri güvenliği otoriteleri ilk kez güçlerini nasıl kullanmaları gerektiğini anlamış durumda. Brexit ile karmaşık bir süreçten geçen AB’nin, Fransız yasalarına dayanan GDPR ve benzeri yasalarla çizdiği kalın çizgiler geleceğin daha fazla ‘gizlilik’ içinde olmasını sağlayacak gibi görünüyor.

GDPR ile gelen belirgin şartlar dikkate değer. AB, Avrupa merkezli olmayan, ancak vatandaşlarının bilgilerini işleyen firmaların mutlaka kendi sınırları içinde temsilci bulundurmasını şart koşuyor. Yine her firmanın ataması önerilen Veri Güvenliği Yetkilisi (PDO) ile şu iki sürecin titizlikle incelenmesi isteniyor: Veri kontrolü (kişisel veri hangi amaçla ve nasıl toplanacak) ve veri işlemi (veri kontrolcüsü adına veriyi tutan ve işleyen süreç).

PDO rutin ve sistematik olarak şahısların bilgilerini işleyen, veri işlemeyi iş sürecinin çekirdeğinde bulunduran ve Big Data (Büyük Veri) ile çalışan firmaları için öneriliyor. Kısaca AB’nin sayısız teknoloji firmasını ileride denetleyerek ceza kesmesi muhtemel. Çünkü bahsedilen iki temel basamak KYC gibi en temel müşteri işlemlerini de içeriyor.

Picture of young community workers with european union flags

İki ana kural: Dijital altyapı ve yasalara uyumluluk

Veri güvenliğinin sağlanmasına yönelik GDPR yasası, etkileri ile dikkat çekti. AB tarafından GDPR’a iki yıl içinde uyumluluk sağlama koşulu, günümüzde firmaların teknolojik altyapısındaki yetersizliklerini de su yüzüne çıkardı. DataGrail tarafından Mayıs 2019’da sunulan rapora göre, uyumluluğu şart olan firmaların yüzde 50’si ilk yılda işlemlerini tamamlayabildi. GDPR’a uyumluluk sürecini başlatan firmaların yüzde 36’sı, işlemlerini 4-6 ay arasında tamamlayabildi. Anket yapılan 300 ABD merkezli şirketten sadece yüzde 12’si süreci 3 ay içinde tamamlayabilirken, süreci başlatan firmaların yüzde 70’i “verilen zamanın yeterli olmayacağını” açıkladı.

Rapora göre uyumluluk sağlayan firmaların üçte ikisi onlarca, hatta yüzlerce çalışanını GPPR uyumluluğu sürecine aktardı ve çalışmaların tamamlanması 2 bin-4 bin saat sürdü. Gizlilik yönetimi karar vericilerinin yarısı da 80 saat şahsi eğitim, 80 saat de uyumluluk süreçlerinin uygulanması için harcadı. Nihayetinde, firma ve yönetici bazında GDPR uyumluluk süreci 1 yıl 1 aylık iş süresini kapsadı.

Firmaların en çok geri bildirim aldıkları basamak ise talep yönetimi oldu. Binlerce veri noktasının manuel olarak elden geçirilmesi, bilgi toplama ve işlem sürecinde teknolojiye devredilmesi gereken bir alanı da gözler önüne serdi.

Küresel alanda firmaların veri güvenliği sistemlerini baştan revize etmesini sağlayan yeni yasalar arasında California Tüketici Gizliliği Yasası (CCPA) ve Britanya Bilgi Komisyonu Bürosu’na kayıt gerektiren Veri Güvenliği Yasası da bulunuyor.

Firmalar yakın gelecekten itibaren kullanıcılarına verilerini denetleyebilecekleri bir veri güvenliği altyapısı sunmak zorunda. Bulut tabanlı modern sistemlerin işleyeceği Büyük Veri’nin her alanda şeffaf ve güvenli tutulması kritik önem taşıyor. Aksi takdirde GDPR ve diğer yasaların teknoloji devlerini zorlayacağı birçok alan söz konusu.

Otonom araçlardan insansı robotlara kadar geliştirilen birçok teknoloji milyonlarca insanın bilgilerini kullanıyor. Eğer aralarında Facebook, Amazon, Google, Microsoft ve IBM’in bulunduğu “Partnership on AI” grubu, söz verdiği şeffaflık politikasını yerine getiremezse, veri güvenliği denetimleri yeni boyutlara ulaşabilir.

YORUM

Yorumlar 0