Avrupa Genel Veri Koruma Yönetmeliği (GDPR) 25 Mayıs 2018'de yürürlüğe giriyor. GDPR, Avrupa Birliği (AB) içerisinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da yakından ilgilendiriyor. Artık yönetmeliğin başta şifreleme (encryption) olmak üzere çeşitli dijital güvenlik önlemleri almayı öngördüğüne dikkat çekildi.
Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. 25 Mayıs 2018 itibarıyla yürürlükte olan yönetmelik, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaların bu düzenlemeyle uyumlu olmasını gerektiriyor.
Yönetmelik aksi takdirde firmaların yasal sonuçlara katlanmak durumunda olduklarını ifade ediyor. Uyumsuzluk durumunda 20 milyon Euro ve üzerine ulaşabilen karışık kuralları ve cezalarıyla birlikte GDPR, tüm küçük ve orta ölçekli firmalar için karşılanması hiç de kolay olmayacak maddi yükümlülükleri de beraberinde getiriyor. Çalışan sayısı 10 ila 250 arası olan ve yıllık cirosu 2 ila 50 milyon Euro arasında değişen firmalar için bunun gelir anlamında felakete varan sonuçları olabilir.
KOBİ’lerin sindirebileceğinden ağır yük var
Son iki yıldır bu konuyu zaman zaman mercek altına alıyor, yönetmeliğin öngördüklerini ve alınması gereken dijital önlemlere dikkat çekiyor. Küçük ve orta ölçekli şirketlerde GDPR etkilerini analiz uzmanlardan David Tomlinson, bu firmaların karşılaşabileceği sorunları ortaya koydu.
Tomlinson, "Bu yönetmelik, küçük ve orta ölçekli firmalar için büyük bir yük teşkil ediyor. Gereksinimler listesi, sindirebileceklerinden çok daha fazla ve bir noktada tüm bunları görmezden gelerek sorunların zamanla ortadan kaybolmasını bekliyorlar” diye konuştu. Tomlinson, "İdeal olarak firmalar; belge oluşturma, prosedürler, GDPR kapsamında tüm iş süreçlerinin yönetimi ve bunları çalışanların günlük hayatlarına adapte edecek kişileri, yalnızca bu işlere odaklanacak şekilde görevlendirmelidir. Bu, küçük şirketlerin yapılarına kolayca adapte edemeyecekleri bir konu” tespitini yaptı.
Avrupa’daki işletmeler bile henüz hazır değil
Yakın zamanda IDC tarafından gerçekleştirilen bir araştırmaya göre, Avrupalı küçük işletmelerin yalnızca %29'u ve orta ölçekli işletmelerinse %41'i GDPR ile uyumlu hale gelmek üzere bazı adımlar atmış durumda. Avrupa'da olmayan küçük ve orta ölçekli işletmeler arasındaysa bu oran, küçük işletmeler için %9, orta ölçekli işletmeler için ise %20 olarak görünüyor.
Anahtar, her iş kapsamında kişisel verinin rolünü ve GDPR gerekliliklerini karşılayabilmek için ne gibi koruyucu önlemler alınması gerektiğini anlayabilmek. Kişisel veriyi tanımlayalım.Direktif, bunu "Kimliği belirli veya belirlenebilir kişilerle ilgili her türlü bilgi" olarak tanımlıyor. Örneğin: ad, soyad, ev adresi, e-posta adresi, konum bilgisi".