Avrupa Birliği tarafından yürürlüğe sokulan Genel Veri Koruma Tüzüğü (GDPR), Avrupa ülkeleriyle iş ilişkisi kuran Türkiye’deki şirketleri de etkisi altına alıyor. Kişi ve kurumların faaliyetlerini bir an evvel GDPR’a göre düzenlemesi, hem ticari hem de hukuki anlamda ortaya çıkacak yaptırımların önüne geçiyor.
Avrupa Birliği’nin 25 Mayıs 2018’de yürürlüğe koyduğu yeni veri koruma yasası The General Data Protection Regulation (GDPR – Genel Veri Koruma Tüzüğü), sadece Avrupa Birliği’ne bağlı ülkeleri değil, bu ülkelerle iş ilişkileri kuran kişi ve kurumları da temelinden etkiliyor. Kişilere ait verilerin izin alınmaksızın toplanması, saklanması ve işlenmesinin önüne geçen GDPR ile birlikte, verilerin hangi amaçla ele alınacağının da belirtilmesi ve ilgili kişiden onay alınması gerekiyor.
Türkiye’deki şirketler de GDPR’dan etkileniyor
Türkiye’de faaliyet gösteren ve Avrupa’ya satış yapan şirketlerin de bu düzenlemeden etkilendiğinin altını çizen Say, GDPR uyumluluğunun kritik önem taşıdığını belirtiyor. Piyasada firmalara kişisel verilerin işlenmesiyle ilgili yardımcı olacak, verilerin şifrelenmesi ve doğru bir şekilde tasnif edilmesi işlemlerini otomatik olarak gerçekleştirebilen çeşitli teknik araçlar bulunsa da, GDPR’a uyumlu olmak için gerekli işlemler hususunda uzman kişilerden destek almak büyük önem arz ediyor. Yapısını GDPR’a göre düzenlemeyen şirketler, veri ihlali sebebiyle, bedeli milyonlarca avroyu bulan cezalarla karşılaşabiliyor. Ayrıca ihlalin gerçekleşmesi durumunda kuruluşun, durumu farkına vardığı andan itibaren 72 saat içinde veri sızıntısını bildirmesi gerekiyor. Aksi halde kişi ve kurumları pek çok hukuki yaptırım bekliyor.
GDPR uyum sürecine giren şirketler ne yapmalı?
Kurumlar GDPR’a uyumluluk sürecinde, yalnızca teknik araçlarla değil, konusunda uzmanlardan alınacak analiz ve danışmanlıkla da ilerlemek zorunda. Uzman danışmanların, şirketlerde kişisel ve özel nitelikli verilerin bulunduğu alanları belirleme, saklama ve imha etme gibi süreçlerde aktif rol oynaması ve operasyonun takibini gerçekleştirmesi gerekiyor.
Rutin olarak yapılacak analiz ve çalışmalara ek olarak güvenlik politikalarını ve işletmenin hedeflerini revize etmek, eğitimlerle yöneticileri ve çalışanları da GDPR konusunda yetkin hale getirmek kritik değer taşıyor. Bu süreçle birlikte veri toplayan, saklayan ve işlemek isteyen kurumların, verilerini tuttukları kişileri detaylıca ve açık şekilde bilgilendirmeleri ve onaylarını almaları gerekiyor.