Şirketlere 20 milyon euro ceza kesebilecek GDPR nedir?

Avrupa Birliği'nin Birlik içerisinde yaşayan her vatandaşının kişisel verilerini sert yaptırımlarla koruyacak Genel Veri Koruma Yönetmeliği (GDPR) bugün devreye giriyor.

En açık dille Facebook, Amazon, Twitter gibi internet devlerini hizaya sokacak uygulama kapsamında AB sınırları içerisinde yaşayan birinin verilerini toplamak artık eskisi kadar kolay olmayacak. Öyle ki bu sistem Türkiye'yi bile etkileyecek. Örneğin, Türkiye merkezli bir e-ticaret sayfanız var. Almanya ya da Fransa'daki müşterinize satış yapmak istiyorsunuz. Alışverişin öncesi ve sonrasında toplayacağınız tüm veriler için GDPR uyumluluğu aranacak.

Yükümlülüklerinin  yerine getirilmemesi durumunda şirket cirosunun  yüzde 4'ü ya da 20 milyon euroya varan yüksek para cezalarının kesildiği GDPR nedir? Şirketleri nasıl etkileyebilir? 

1) GDPR nedir?

Avrupa Birliği'nin veri güvenliği için 1995'te geçirdiği yasanın yerini alacak GDPR, mevcut düzende dramatik değişiklikler yapacak.

Bugüne kadarki en katı ve kapsamlı veri koruma düzenlemesi GDPR ile AB vatandaşları herhangi bir internet sitesine verdikleri kişisel bilgilerinin kontrolünü ele alacak. Kişiler, şirketlerin verilerini kullanma şekline müdahale edebilecek. Bir amaç için kullanılmamasını, yalnızca arşivlenmesini isteyecek.  

Yasayla birlikte şirketlerden, topladıkları verinin takibinin yapılması istenecek. Eğer AB sınırları içerisinde yaşayan biri bilgilerinin silinmesini, bir kopyasının kendisine gönderilmesini ya da bir hatanın düzeltilmesini isterse, söz konusu şirket kati suretle bu talebe uyacak.

İşletmeler, veri kullanımıyla ilgili bilgi talep edilmesi durumunda en geç 72 saat içerisinde bu bilgiyi vermek zorunda olacak. Ya da şirket, bir verinin kontrolünü kaybettiğini farkettikten sonra 72 saat içerisinde kullanıcılarını uyarmakla yükümlü olacak. Yani milyonlarca verinin sızdırıldığı bir skandalda şirketin önce sorunu çözüp sonra bilgi vermesi beklenmeyecek.

2) Hangi bilgiler koruma altında olacak?

Kişilerin adı soyadı ve kimlik numaralarının yanı sıra online ortam ve gerçek dünyadaki tüm aktiviteleri de koruma altında olacak. Bunlara internette hangi sitelerin ziyaret edildiğini gösteren yer bildirimleri, IP adresleri ve cookiler de dahil.

3) Nasıl uygulanacak?  

Avrupa Birliği'nin her üye ülkesinin kendi uygulama mekanizması olacak ve hepsinin mutlaka bir GDPR danışmanı olacak.

AB vatandaşları, ülke yönetimlerindeki ilgili kurumlara şikâyetlerini iletebilecek ve şirketlerin bilgi güvenliğini ihlal ettiğinin tespit edilmesi durumunda, yıllık küresel cirolarının yüzde 4'ü ya da 20 milyon euroya kadar para cezası kesilecek. 

4) Yalnızca Avrupa Birliği'nde kurulu şirketleri mi kapsıyor?

Hayır. Bir şirket, hangi ülkede olursa olsun, online ortamda  alışveriş, hesap açma, sosyal platform kaydı gibi herhangi bir sebeple AB vatandaşlarının bilgisini talep ediyorsa GDPR'ye karşı yükümlü olacak.

ABD merkezli International Data Corporation'ın verilerine göre Avrupalı küçük işletmelerin yalnızca yüzde 29'u ve orta ölçekli işletmelerinse yüzde 41'i GDPR ile uyumlu hale gelmek üzere bazı adımlar atmış durumda. Avrupa'da olmayan küçük ve orta ölçekli işletmeler arasındaysa bu oran, küçük işletmeler için yüzde 9, orta ölçekli işletmeler için ise yüzde 20 olarak görünüyor.

Global bilgi güvenliği kuruluşu ESET'in Endpoint Encryption Yöneticisi David Tomlinson'a göre bu yönetmelik, küçük ve orta ölçekli firmalar için büyük bir yük teşkil ediyor.  Tomlinson, "Gereksinimler listesi, sindirebileceklerinden çok daha fazla ve bir noktada tüm bunları görmezden gelerek sorunların zamanla ortadan kaybolmasını bekliyorlar” diyor.

5) AB'de yerleşik olmayanlar nasıl etkilenecek?

Facebook, Microsoft, Twitter, Apple gibi isimler Avrupa Birliği regülasyonunun yanı sıra kullanıcılarına ilave haklar tanıdır. Ancak bu hakların arkasında duracak yasal bir yaptırım yok. Yani, bir AB ülkesinde yaşamıyorsanız GDPR'a uymadı diye Microsoft'a dava açamazsınız.

Ancak özellikle büyük firmalar, GDPR yürürlüğe girmeden gizlilik politikalarındaki barajı güncelledi bile. Son aylarda bununla ilgili farklı şirketlerden aldığınız maillerin nedeni de genellikle bu.

6) Şirketler ne yapmalı?

Öncelikle bir şirket, sahip olduğu tüm verilerin nasıl kullanıldığını bilmek zorunda. Hassas içeriğe sahip verilerin nereye taşındığını, bu verileri kimlerin, ne amaçla kullanıldığı görüntülenmeli.

Her çalışan hangi verinin ne şekilde kullanılması gerektiğini bilmeli ve kişisel verilerle kimlerin, ne şekilde çalışabileceği konusunda kesin kurallar oluşturulmalı.

Kişisel bilgiler içeren tüm veriler şifrelenmelidir. Şifreleme kullanımı uç noktalar da dahil olmak tüm şirkete yayılmalı.

Veri sızıntısını önlemek için e-posta, yazıcılar, USB, DVD gibi çıkarılabilir cihazlar ve diğer iletişim kanalları denetlenerek yalnızca belirli veriler, şirket dışına çıkarılmalı.

7) Facebook ceza alacak mı?

GDPR'la birlikte en çok merak edilen konulardan biri de Facebook'un akıbeti. İngiltere merkezli siyasi danışma şirketi Cambridge Analytica'nın, 2016 ABD Başkanlık seçimleri sürecinde, 87 milyon kişinin Facebook hesabından gizli bilgilerine ulaştığı skandalı patlamasının ardından sosyal medya devi, imajını toparlamak için çalışmaya devam ediyor. 

ABD Kongresi'ndeki ifadesi sırasında tüm sorumluluğu üzerine alan Facebook CEO'su Mark Zuckerberg, salı günü Avrupa Parlamentosu'nda verdiği ifadede de GDPR'ın internet için olumlu bir adım olacağını söylemişti.

Ancak GDPR sonrası Facebook'un ceza alıp almayacağı kesin değil. AB Adalet Komisyonu Vera Jourova,  GDPR'ın Cambridge Analytica'ya uygulanamayacağını çünkü yasanın geçmiş zamanlı aktiviteleri içermediğini söylemişti.